Upload
missy
View
42
Download
8
Embed Size (px)
DESCRIPTION
Bezpečnosť IS. Kerberos protokol Single Sign On služba Intrusion Detection System XML - bezpečnostné štandardy Viktor Kujaník, 2004. Kerberos autentifikačný protokol. Predstavenie: v ytvoren ý na Massachusetts Institute of Technology (198 8 ) - PowerPoint PPT Presentation
Citation preview
Bezpečnosť ISBezpečnosť IS
Kerberos protokolKerberos protokol Single Sign On službaSingle Sign On služba Intrusion Detection SystemIntrusion Detection System XML - bezpečnostné štandardyXML - bezpečnostné štandardy
Viktor Kujaník, 2004Viktor Kujaník, 2004
KerberosKerberos
autentifikačný autentifikačný protokolprotokol
Predstavenie:Predstavenie:
vvytvorenytvorený na Massachusetts ý na Massachusetts Institute of Technology Institute of Technology (198(19888))
Kerberos – meno trojhlavKerberos – meno trojhlavého psa,ého psa, ktorý strážil Hades-aktorý strážil Hades-a
Je voľne dostupný na stránkachJe voľne dostupný na stránkach Massachusetts Institute of Massachusetts Institute of TechnologyTechnology
Je dostupný aj ako komerčný produktJe dostupný aj ako komerčný produkt viacerých spoločnostíviacerých spoločností
KerberosKerberos je sieťový autentifikačný protokolje sieťový autentifikačný protokol je navrhnutý na poskytovanie silnej je navrhnutý na poskytovanie silnej autentifikácie používaním „secret-key“ autentifikácie používaním „secret-key“ šifrovaniašifrovania
Použitie:Použitie: clientclient // server aplikácieserver aplikácie web aplikácieweb aplikácie
Hlavné úlohy:Hlavné úlohy: zabezpečiť autentifikáciu – každý klient vie dokázať svoju zabezpečiť autentifikáciu – každý klient vie dokázať svoju
identitu servidentitu serveeru (a naopak)ru (a naopak) šifrovať celú komunikáciu klient – server – dáta nemôžu šifrovať celú komunikáciu klient – server – dáta nemôžu
byť prečítané treťou osoboubyť prečítané treťou osobou zabezpečiť, aby dáta nemohli byť zmenené treťou osobouzabezpečiť, aby dáta nemohli byť zmenené treťou osobou
Základné pojmyZákladné pojmy
Security Service Provider (SSP)Security Service Provider (SSP)
Security Support Provider Interface (SSPI)Security Support Provider Interface (SSPI)
Secret Key šifrovanieSecret Key šifrovanie
Key Distribution Center (KDC)Key Distribution Center (KDC)
Data Encryption Standard (DES), RC4Data Encryption Standard (DES), RC4
Kerberos TicketKerberos Ticket
Kerberos TicketKerberos Ticket názov domény a používateľanázov domény a používateľa rôzne príznakyrôzne príznaky „„encryption key“ – používaný naencryption key“ – používaný na kryptovanie komunikácie medzikryptovanie komunikácie medzi konkrétnym klientom a servromkonkrétnym klientom a servrom kryptované kópie názvov doménykryptované kópie názvov domény a používateľaa používateľa začiatočný a koncový čas platnostizačiatočný a koncový čas platnosti daného ticketudaného ticketu IP adresa identifikujúca klientaIP adresa identifikujúca klienta autorizačné dáta – používané servromautorizačné dáta – používané servrom na určenie privilégií používateľana určenie privilégií používateľa
PrihlasovaniePrihlasovanie Prihlasovanie do Windows 2000 doményPrihlasovanie do Windows 2000 domény - login meno- login meno - heslo- heslo - n- názov doményázov domény Ticket – Granting Ticket (TGT)Ticket – Granting Ticket (TGT)
Kc – kľúč – hashované prihlasovacie heslo klienta Kc – kľúč – hashované prihlasovacie heslo klienta (pozná ho len klient a KDS)(pozná ho len klient a KDS)
Kc,k – kľúč, ktorý vygeneruje KDC pre danú „session“Kc,k – kľúč, ktorý vygeneruje KDC pre danú „session“ Kk – kľúč, ktorý pozná len KDCKk – kľúč, ktorý pozná len KDC
Autentifikácia klienta vzdialenej službeAutentifikácia klienta vzdialenej službe PoPožadovanie „ticketu“ pre konkrétnu službužadovanie „ticketu“ pre konkrétnu službu Predstavme si, že klient chce získať prístup k aplikácii, Predstavme si, že klient chce získať prístup k aplikácii,
bežiacej na serveri Sbežiacej na serveri S
Ks – kľúč, ktorý pozná len KDC s server SKs – kľúč, ktorý pozná len KDC s server S Kc,s – kľúč, ktorý vygeneruje KCD na komunikáciu Kc,s – kľúč, ktorý vygeneruje KCD na komunikáciu
klienta so serverom S klienta so serverom S Spätná autentifikácia servera klientoviSpätná autentifikácia servera klientovi
Poskytovanie integrity a privátnosti dátPoskytovanie integrity a privátnosti dát
Integrita:Integrita: počítanie „checksum-u“ každého packetu a jeho posielanie počítanie „checksum-u“ každého packetu a jeho posielanie
spolu s packetomspolu s packetom kryptovanie „checksum-u“ pomocou „session key“ – Kc,s, kryptovanie „checksum-u“ pomocou „session key“ – Kc,s,
ktorý pozná len klient a server poskytujúci danú službuktorý pozná len klient a server poskytujúci danú službu
Privátnosť:Privátnosť: kryptovanie vzájomnej komunikácie medzi serverom a kryptovanie vzájomnej komunikácie medzi serverom a
klientom použitím „session key“ – Kc,sklientom použitím „session key“ – Kc,s
Aplikácie používajúce Kerberos nemusia využívať tieto Aplikácie používajúce Kerberos nemusia využívať tieto služby integrity a privátnosti dát.služby integrity a privátnosti dát.
Ďalšie možnosti KerberosuĎalšie možnosti KerberosuDelegácia:Delegácia: potrebná v prípade, že server, ktorý je používaný klientom, potrebná v prípade, že server, ktorý je používaný klientom,
požaduje prístup na iný server v prospech daného klientapožaduje prístup na iný server v prospech daného klienta
klient poskytne svoj TGT serveru S s nastaveným príznakom klient poskytne svoj TGT serveru S s nastaveným príznakom na „FORWARDABLE“na „FORWARDABLE“
server S požiada KDC o nový ticket na server T v prospech server S požiada KDC o nový ticket na server T v prospech klientaklienta
Autentifikácia medzi klientom a serverom v rozdielnychAutentifikácia medzi klientom a serverom v rozdielnychdoménach:doménach: potrebná v prípade, že klient požaduje o prístup na server, potrebná v prípade, že klient požaduje o prístup na server,
ktorý je v inej Windows doménektorý je v inej Windows doméne
doména klienta a doména žiadaného servera musia mať doména klienta a doména žiadaného servera musia mať medzi sebou „trust“ vzťahmedzi sebou „trust“ vzťah
medzi doménami existuje tranzitívna dôveramedzi doménami existuje tranzitívna dôvera
Výhody Kerberos autentifikácieVýhody Kerberos autentifikácie
efektívnejšia autentifikácia na server efektívnejšia autentifikácia na server
vzájomná autentifikácia klienta a serveravzájomná autentifikácia klienta a servera
delegovateľná autentifikáciadelegovateľná autentifikácia
zjednodušený „trust“ manažmentzjednodušený „trust“ manažment
Slabosti protokolu KerberosSlabosti protokolu Kerberos
Replay Replay úútokytoky
Synchronizácia času medzi klientmi a serveromSynchronizácia času medzi klientmi a serverom
Útoky Útoky zameranzamerané na uhádnuté na uhádnutieie hesla hesla
Získanie hesla falošným login-omZískanie hesla falošným login-om
Vystavenie „session“ kľúčaVystavenie „session“ kľúča
Single Sign OnSingle Sign On
službaslužba
Potreba prihlasovania sa do viacerých doménPotreba prihlasovania sa do viacerých domén
RRozdielne bezpečnostné pravidláozdielne bezpečnostné pravidlá
Voľba jednoduchých, ľahko uhádnuteľných hesielVoľba jednoduchých, ľahko uhádnuteľných hesiel
Zapisovanie si týchto hesielZapisovanie si týchto hesiel
Strata času pri opakovanom prihlasovaníStrata času pri opakovanom prihlasovaní
Viacnásobné prihlasovanieViacnásobné prihlasovanie
Single Sign On prihlasovanieSingle Sign On prihlasovanie
Poskytovanie informácií na druhotné Poskytovanie informácií na druhotné prihlasovanieprihlasovanie
priamopriamo
nepriamonepriamo
okamžiteokamžite
uchovanie v cache pamätiuchovanie v cache pamäti
BezpeBezpečnostné aspekty SSOčnostné aspekty SSO
Primárna doména správne overila totožnosť používateľa.Primárna doména správne overila totožnosť používateľa.
Autentifikačné informácie používané pri sekundárnom Autentifikačné informácie používané pri sekundárnom logine sú bezpečne uložené v primárnej doménelogine sú bezpečne uložené v primárnej doméne
Autentifikačné informácie sú chránené počas prenosu Autentifikačné informácie sú chránené počas prenosu medzi primárnou a sekundárnou doménou medzi primárnou a sekundárnou doménou
Čo Single Sign On nie jeČo Single Sign On nie je
proxy pre používateľaproxy pre používateľa
Čo je Single Sign OnČo je Single Sign On
synchronizácia hesielsynchronizácia hesiel
identity manažment systémidentity manažment systém
provisioning systémprovisioning systém
Výhody Single Sign OnVýhody Single Sign On
redukovanie času potrebného na prihlasovanie sa do redukovanie času potrebného na prihlasovanie sa do jednotlivých domén a zároveň redukovanie časových strát jednotlivých domén a zároveň redukovanie časových strát pri neúspešných prihláseniachpri neúspešných prihláseniach
zvýšená bezpečnosť vďaka zníženiu počtu potrebných zvýšená bezpečnosť vďaka zníženiu počtu potrebných autentifikačných informácií, ktoré si musí používateľ autentifikačných informácií, ktoré si musí používateľ pamätaťpamätať
Ako Single Sign On pracuje?Ako Single Sign On pracuje?
1.1. ininštalácia Single Sign On (SSO) systémuštalácia Single Sign On (SSO) systému
2.2. povolenie SSO na aplikáciach a databázachpovolenie SSO na aplikáciach a databázach
3.3. pri prvom spustení – SSO si nahrá údaje potrebné pri pri prvom spustení – SSO si nahrá údaje potrebné pri prihlasovaní (prihlasovacie prihlasovaní (prihlasovacie meno, heslo ...)meno, heslo ...)
4.4. pri ďalších spusteniach – SSO vkladá potrebné údaje pri ďalších spusteniach – SSO vkladá potrebné údaje automatickyautomaticky
Single Sign On je vhodnSingle Sign On je vhodný, ak:ý, ak: máme viacero aplikácií, do ktorých je nutné sa prihlasovaťmáme viacero aplikácií, do ktorých je nutné sa prihlasovať
veľké percento volaní na HelpDesk sa týka obsluhy hesielveľké percento volaní na HelpDesk sa týka obsluhy hesiel
požadujeme pravidelné zmeny prístupových hesielpožadujeme pravidelné zmeny prístupových hesiel
nemôže nastať stav, že používatelia sa nemôžu prihlásiť do nemôže nastať stav, že používatelia sa nemôžu prihlásiť do potrebnej aplikácia kvôli problémom s heslompotrebnej aplikácia kvôli problémom s heslom
viacero aplikácií používa rozdielne pravidlá pre používanie viacero aplikácií používa rozdielne pravidlá pre používanie hesielhesiel
potrebujeme odľahčiť používateľov od častého zadávania potrebujeme odľahčiť používateľov od častého zadávania hesielhesiel
XSSO – Open Single Sign On XSSO – Open Single Sign On StandardStandard
Základné bezpečnostné požiadavky XSSO:Základné bezpečnostné požiadavky XSSO:
XSSO nemôže nepriaznivo ovplyvniť pružnosť systémuXSSO nemôže nepriaznivo ovplyvniť pružnosť systému XSSO nemôže nepriaznivo ovplyvniť prístupnosť XSSO nemôže nepriaznivo ovplyvniť prístupnosť
individuálnych systémových služiebindividuálnych systémových služieb XSSO nemôže povoliť používateľom prístup k tajným XSSO nemôže povoliť používateľom prístup k tajným
informáciám používateľského účtuinformáciám používateľského účtu XSSO má kontrolovať všetky bezpečnostné udalosti, ktoré XSSO má kontrolovať všetky bezpečnostné udalosti, ktoré
sa vyskytnú v súvislosti s činnosťou XSSOsa vyskytnú v súvislosti s činnosťou XSSO XSSO implementácia má chrániť všetky bezpečnostne XSSO implementácia má chrániť všetky bezpečnostne
relevantné informácie, aby bola zachovaná integrita loginovrelevantné informácie, aby bola zachovaná integrita loginov
„„Nevýhoda“ SSONevýhoda“ SSO
jedinou nevýhodou SSO je skutočnosť, že ak útočník jedinou nevýhodou SSO je skutočnosť, že ak útočník získa prihlasovacie meno a heslo do SSO, automaticky získa prihlasovacie meno a heslo do SSO, automaticky získa prístup ku všetkým aplikácia a databázam, ktoré získa prístup ku všetkým aplikácia a databázam, ktoré používajú SSOpoužívajú SSO
táto nevýhoda však stráca svoj zmysel, ak si táto nevýhoda však stráca svoj zmysel, ak si uvedomíme, že jedno dobre zvolené heslo je výrazne uvedomíme, že jedno dobre zvolené heslo je výrazne bezpečnejšie ako veľa jednoduchých hesiel, ktoré je bezpečnejšie ako veľa jednoduchých hesiel, ktoré je možné ľahko uhádnuť alebo nájsť napísané na papierimožné ľahko uhádnuť alebo nájsť napísané na papieri
Intrusion Detection Intrusion Detection SystemSystem
Čo je to IDS?Čo je to IDS?
Intrusion detection system je technolódia Intrusion detection system je technolódia vytvorená za účelom odhaľovania vytvorená za účelom odhaľovania bezpečnostných narušení v počítačových bezpečnostných narušení v počítačových sietach.sietach.
Je to akýsi alarm systém, ktorý poukazuje na Je to akýsi alarm systém, ktorý poukazuje na určitú škodlivú aktivitu, ktorá sa deje.určitú škodlivú aktivitu, ktorá sa deje.
Sám osebe neposkytuje bezpečnostné opatrenia, Sám osebe neposkytuje bezpečnostné opatrenia, iba upozorňuje na prebiehajúci pokus o iba upozorňuje na prebiehajúci pokus o narušenie. (Novšie verzie, ako IPS už dokážu aj narušenie. (Novšie verzie, ako IPS už dokážu aj zabrániť narušeniu)zabrániť narušeniu)
Rozdelenie IDS (1) – podľa Rozdelenie IDS (1) – podľa umiestneniaumiestnenia
Network Based IDS (NIDS)Network Based IDS (NIDS)
Host Based IDS (HIDS)Host Based IDS (HIDS)
Stack Based IDS (SIDS)Stack Based IDS (SIDS)
Výhody NIDSVýhody NIDS
náklady na vlastníctvonáklady na vlastníctvo
analýza packetovanalýza packetov
nemožnosť zmazania dátnemožnosť zmazania dát
real-time detekciareal-time detekcia
detekovanie útočných pokusovdetekovanie útočných pokusov
nezávislosť od operačného systémunezávislosť od operačného systému
Výhody HIDSVýhody HIDS
overenie útokuoverenie útoku
monitorovanie špecifickej aktivity systémumonitorovanie špecifickej aktivity systému
monitorovanie kľúčových komponentovmonitorovanie kľúčových komponentov
plne funkčný aj na šifrovaných alebo switchovaných plne funkčný aj na šifrovaných alebo switchovaných sieťachsieťach
nepotrebuje dodatočný HWnepotrebuje dodatočný HW
Rozdelenie IDS (2) – podľa spôsobu Rozdelenie IDS (2) – podľa spôsobu detekcie útokovdetekcie útokov
Signature – based IDSSignature – based IDS
Statistical – based IDSStatistical – based IDS
Metódy analýzy packetovMetódy analýzy packetov
vzorové porovnávanievzorové porovnávanie
stavové vzorové porovnávaniestavové vzorové porovnávanie
analýza dekódovaním protokoluanalýza dekódovaním protokolu
heuristická analýzaheuristická analýza
analýza zisťovania anomáliíanalýza zisťovania anomálií
Možné reakcie IDSMožné reakcie IDS
PrienikPrienik Normálne dátaNormálne dáta
IDS AlarmIDS AlarmTrueTrue
positivepositiveFalseFalse
positivepositive
IDS NormalIDS NormalFalseFalse
negativenegativeTrueTrue
negativenegative
XMLXML
bezpečnostné bezpečnostné štandardyštandardy
Bezpečnostné schémy založené na Bezpečnostné schémy založené na XMLXML
WS-Security (Bezpečnosť Webových služieb) XML digitálny podpis XML šifrovanie
SAML (Bezpečnostný Assertion Markup jazyk)
XKMS (XML špecifikácia pre správu kľúčov)
XACML (Extensible Access Control Markup jazyk)
ebXML Message Service
WS-Security - Bezpečnosť Webových WS-Security - Bezpečnosť Webových služiebslužieb
Poskytuje:Poskytuje: integrituintegritu utajenieutajenie autentifikáciuautentifikáciu
Využíva:Využíva: XML digitálny podpisXML digitálny podpis XML šifrovanieXML šifrovanie
XML digitálny podpisXML digitálny podpis
Poskytuje:Poskytuje: autentifikáciuautentifikáciu integrituintegritu nepopierateľnosťnepopierateľnosť
Výhoda:Výhoda: podpis iba určitej časti dokumentupodpis iba určitej časti dokumentu
Nevýhoda:Nevýhoda: potreba zdrojov z internetu na zakódovanie a dekódovaniepotreba zdrojov z internetu na zakódovanie a dekódovanie
XML šifrovanieXML šifrovanie
Umožňuje:Umožňuje:
šifrovať len určitú časť dokumentušifrovať len určitú časť dokumentu kontrolu dešifrovania kontrolu dešifrovania
- ak je časť dokumentu najprv zašifrovaná a - ak je časť dokumentu najprv zašifrovaná a potom potom podpísaná, pri dešifrovaní sa nedešifruje podpísaná, pri dešifrovaní sa nedešifruje
- ak je časť dokumentu najprv podpísaná a potom - ak je časť dokumentu najprv podpísaná a potom zašifrovaná, pri dešifrovaní sa dešifruje zašifrovaná, pri dešifrovaní sa dešifruje
šifrovať buď celý element alebo obsah elementušifrovať buď celý element alebo obsah elementu
Špecifikácie nadväzujúce na Špecifikácie nadväzujúce na WS - SecurityWS - Security
WS – PolicyWS – Policy WS – TrustWS – Trust WS – PrivacyWS – Privacy WS – Secure ConversationWS – Secure Conversation WS – FederationWS – Federation WS – AuthorizationWS – Authorization
SAML - Bezpečnostný Assertion SAML - Bezpečnostný Assertion Markup jazykMarkup jazyk
Definuje rámec na výmenu autentifikačných a Definuje rámec na výmenu autentifikačných a autorizačných informácií cez internetautorizačných informácií cez internet
Obsahuje 3 časti:Obsahuje 3 časti: syntax a sémantika správ obsahujúcich tvrdenia syntax a sémantika správ obsahujúcich tvrdenia
(assertion)(assertion) protokoly žiadostí a odpovedí na výmenu bezpečnostných protokoly žiadostí a odpovedí na výmenu bezpečnostných
informáciíinformácií pravidlá pre používanie tvrdení v rámcoch správpravidlá pre používanie tvrdení v rámcoch správ
Možnosti využitia SAMLMožnosti využitia SAML
Single Sign OnSingle Sign On distribuovaná transakciadistribuovaná transakcia autorizačná službaautorizačná služba
autentifikáciaautentifikácia atribútatribút rozhodnutie o autorizáciírozhodnutie o autorizácií
Tvrdenia používané v SAMLTvrdenia používané v SAML
XKMS - XML špecifikácia pre správu XKMS - XML špecifikácia pre správu kľúčovkľúčov
Skladá sa z dvoch častí:Skladá sa z dvoch častí:
X – KISS – XML X – KISS – XML Key Information Service Specification - špecifikácia služby informácií o kľúči- špecifikácia služby informácií o kľúči
X – KRSS - X – KRSS - XML Key Registration Service Specification - špecifikácia služby registrácie kľúča
XACML - Extensible Access Control XACML - Extensible Access Control Markup jazykMarkup jazyk
jeho úlohou je štandardizovať jazyk na popísanie jeho úlohou je štandardizovať jazyk na popísanie autentifikácie a prístupových práv v XMLautentifikácie a prístupových práv v XML
definuje, ako bezpečne a spoľahlivo posielať a prijímať definuje, ako bezpečne a spoľahlivo posielať a prijímať správy pri elektronickom obchodovaní bez ohľadu na správy pri elektronickom obchodovaní bez ohľadu na používaný komunikačný protokolpoužívaný komunikačný protokol
ebXML Message Service
ZdrojeZdroje
http://www.cybersafe.ltd.uk/ http://web.mit.edu/Kerberos/advisories/ http://www.microsoft.com/windows2000/docs/Kerbinterop.doc http://www.opengroup.org/security/sso/ http://www.protocom.com/html/whitepapers/ http://www.cisco.com/en/US/netsol/ http://www.securitytechnet.com/rsc-center/vendor-wp/l-n.html http://www106.ibm.com/developerworks/webservices/library/