Wyższa Szkoła Biznesu w Dąbrowie Górniczej

ZASTOSOWANIE SIECI KOMPUTEROWYCH

materiały dydaktyczne

prof. dr hab. inż Andrzej Grzywak

Dąbrowa Górnicza 2010

Spis treści1. Program wykładu..............................................................................................................................42. Tematy prac kontrolnych..................................................................................................................63. Sieci teleinformatyczne i problem jakości usług..............................................................................8

3.1 Rozwój Internetu na świecie......................................................................................................83.2 Ewolucja usług szerokopasmowych..........................................................................................83.3 Telefonia komórkowa................................................................................................................83.4 Obszary konwergencji informatyki i telekomunikacji...............................................................93.5 Istota konwergencji sieci.........................................................................................................103.6 Jakość usług w protokole IP....................................................................................................103.7 Jakość usług w sieciach ATM..................................................................................................113.8 Kształtowanie przepływu ruchu w sieci..................................................................................113.9 Funkcja kształtująca i algorytmy działania..............................................................................113.10 Struktura pola TOS pakietu IP...............................................................................................123.11 Znakowanie usług (pole TOS ramki).....................................................................................123.12 Model usług zintegrowanych.................................................................................................123.13 Wnioski końcowe..................................................................................................................13

4. Media transmisyjne w sieciach komputerowych............................................................................144.1 Media transmisyjne stosowane w sieciach komputerowych...................................................144.2 Parametry mediów transmisyjnych..........................................................................................144.3 Typowe kable sieciowe............................................................................................................144.4 Zależność tłumienia od długości fali.......................................................................................154.5 Stożek akceptacji światłowodu................................................................................................154.6 Schemat optycznego wzmacniacza światłowodowego............................................................164.7 Zastosowanie wzmacniaczy optycznych.................................................................................164.8 Zwielokrotnienie TDM i WDM...............................................................................................174.8 Kształt solitonu podstawowego...............................................................................................174.9 Elementy składowe systemu PLC............................................................................................184.10 System PLC...........................................................................................................................184.11 Sieć lokalna bezprzewodowa pracująca zgodnie ze standardem „Siny ząb”.........................194.12 Dwa niezależne segmenty sieci typu BSS. Sieć lokalna WLAN 802.11...............................194.13 Siec z punktami dostępowymi (802.11).................................................................................204.14 Konfiguracja z użyciem punktów dostępu (802.11)..............................................................204.15 Rozwiązanie sieci opartej o protokół WAP i telefony komórkowe.......................................214.16 Wnioski..................................................................................................................................21

5. Podstawowe problemy bezpiecznego przechowywania i przesyłu informacji w systemach komputerowych..................................................................................................................................22

5.1 Rozwój mechanizmów i systemów bezpieczeństwa...............................................................225.2 Bezpieczeństwo systemu rozproszonego (sieciowego)...........................................................225.3 Model działania systemu rozproszonego.................................................................................225.4 Szyfrowanie przechowywanej informacji...............................................................................23

5.5 Poufność przechowywanych plików............................................................................................245.6 Wymiana plików w zamkniętej grupie użytkowników............................................................245.7 Bezpieczeństwo poczty elektronicznej....................................................................................255.8 Podpisywanie wiadomości.......................................................................................................255.9 Sprawdzanie podpisu...............................................................................................................265.10 Szyfrowanie wiadomości.......................................................................................................265.11 Odszyfrowanie wiadomości...................................................................................................275.12 System zaporowy...................................................................................................................275.13 Bezpieczeństwo informacji na stronach WWW....................................................................285.14 Kryptoanaliza – klasyfikacja metod łamania szyfrów...........................................................285.15 Wdrożenie systemu zarządzania bezpieczeństwem informacji.............................................29

5.16 Zarządzanie bezpieczeństwem systemów informatycznych jako proces..............................295.17 Bezpieczeństwo systemów e-biznes......................................................................................305.18 Wnioski końcowe..................................................................................................................30

6. Wirtualne sieci prywatne................................................................................................................316.1 VPN.........................................................................................................................................316.2 Sieci VPN (Virtual Private Network)......................................................................................316.3 Enkapsulacja............................................................................................................................326.4 VPN cd.....................................................................................................................................326.5 Protokół IPSec.........................................................................................................................336.6 IPSec........................................................................................................................................336.7 Wnioski końcowe....................................................................................................................34

7. Strategia gospodarki elektronicznej...............................................................................................357.1 Model mediów.........................................................................................................................357.2 Gospodarka elektroniczna........................................................................................................357.3 Model koncepcyjny portali horyzontalnych............................................................................367.4 Model koncepcyjny portalu wertykalnego..............................................................................377.5 Przemysłowa giełda internetowa.............................................................................................377.6 Architektura systemów e-business...........................................................................................38

8. Identyfikacja użytkownika w sieci internet....................................................................................398.1 Rozwój metod identyfikacji.....................................................................................................398.2 Podpis elektroniczny................................................................................................................398.3 podpis oparty o symetryczny algorytm kryptograficzny.........................................................398.4 Podpis oparty o niesymetryczne algorytmy kryptograficzne (RSA).......................................408.5 Funkcje podpisu cyfrowego.....................................................................................................418.6 Tworzenie podpisu cyfrowego.................................................................................................418.7 Tworzenie podpisu cyfrowego.................................................................................................428.8 Weryfikacja podpisu cyfrowego..............................................................................................428.9 Dystrybucja klucza..................................................................................................................438.10 Standard X509.......................................................................................................................438.11 Modele zaufania.....................................................................................................................448.12 Zasadnicze problemy bezpieczeństwa podpisu elektronicznego...........................................45

8.13. Dwukanałowa identyfikacja użytkownika................................................................................459. Globalne systemy zarządzania a bezpieczeństwo informacji.........................................................46

9.1 Globalne komputerowe systemy zarządcze.............................................................................469.2 Warunki bezpieczeństwa..........................................................................................................479.3 Algorytmy szyfrujące...............................................................................................................479.4 Rozwiązania sprzętowe............................................................................................................479.5 Zasada usługi pośredniczenia..................................................................................................489.6 Zasada sieci peryferyjnej.........................................................................................................489.7 Wnioski końcowe....................................................................................................................49

1. Program wykładu

Przedmiot: Zastosowanie sieci komputerowych Wykładowca: prof. dr hab. inż.. Andrzej Grzywak

1. Usługi w Sieciech teleinformatycznych a szybkość transmisji informacji

2. Podstawowe mechanizmy w sieciach typu ATM poprawiające szybkość transmisji

3. Budowa pakietów sieci ATM

4. Klasyfikacja usług ATM

5. Architektura sieci ATM

6. Zarządzanie siecią ATM

7. Zastosowanie sieci ATM

8. Sieci teleinformatyczne i problemy jakości usług

9. Jakość usług w protokole IP

10. Zastosowanie sieci typu VPN

11. Protokół IP Sec i jego cechy

12. Softwarowe metody szyfrowania informacji

13. Ściany ogniowe i serwery typu proxy jako elementy ochrony sieci lokalnych

14. Sprzętowe metody autentyfikacji użytkownika

15. Bezpieczeństwo wymiany dokumentów elektronicznych

16. Sieci bezprzewodowe WLAN

17. Protokół SSL dla ochrony serwera www

18. Wyszukiwarki internetowe ich zasada działania i klasyfikacja

19. Dynamiczna aktualizacja stron internetowych

20. Zniekształcenia w optyce światłowodowej

21. Wykrywanie błędów w transmisji cyfrowej

22. Usługa FTP

23. Usługa Telnet

24. Protokół SNMP

25. Technologia WWW

26. Protokół HTTP

27. Protokół SSL

28. Bezpieczeństwo poczty elektronicznej

29. Podpis elektroniczny

30. Bezpieczeństwo globalnych systemów zarządzania

31. Zasady budowy systemów gospodarki elektronicznej

32. Media transmisyjne sieci komputerowych

33. Twierdzenie Nyqwista i twierdzenie Shanona

Literatura:

K. Tenebaum, „Sieci komputerowe”, WNT 2004

A. Domański, J Domańska , A Grzywak Sieci komputerowe 2007

A.Kapczyński , Ziębiński, „Narzędzia bezpieczeństwa systemów komputerowych

WSB 2007

E. Douglas, „Sieci komputerowe i Intersieci”, WNT 2003

M. Hassan, R. Jain, „Wysoko wydajne sieci TCP/IP”, Helion 2004

W. Buchanan, „Sieci Komputerowe”, WŁK 1999

W. Buchanan, „Intersieci”, WKŁ 2001

A. Grzywak , J Klamka , A . Kapczyński, M Sobota, Współczesne problemy bezpieczeństwa informacji , WSB 2008

2. Tematy prac kontrolnych

Przedmiot: ZASTOSOWANIE SIECI KOMPUTEROWYCHWykładowca: prof. Andrzej Grzywak

Tematy prac kontrolnych:

1. Usługi w sieciach teleinformatycznych a szybkość transmisji informacji

2. Podstawowe mechanizmy w sieciach typu ATM poprawiające szybkość transmisji

3. Budowa pakietów sieci ATM

4. Klasyfikacja usług ATM

5. Architektura sieci ATM

6. Zarządzanie siecią ATM

7. Zastosowanie sieci ATM

8. Sieci teleinformatyczne i problemy jakości usług

9. Jakoś usług w protokole IP

10. Zastosowanie sieci typu VPN

11. Protokół IP Sec i jego cechy

12. Softwarowe metody szyfrowania informacji

13. Ściany ogniowe i serwery typu Proxy jako elementy ochrony sieci lokalnych

14. Sprzętowe metody autentykacji użytkownika

15. Bezpieczeństwo wymiany dokumentów elektronicznych

16. Sieci bezprzewodowe WLAN

17. Protokół SSL dla ochrony serwera WWW

18. Wyszukiwarki internetowe ich zasada działania i klasyfikacja

19. Dynamiczna aktualizacja stron internetowych

20. Zniekształcenia w optyce światłowodowej

21. Wykrywanie błędów w transmisji cyfrowej

22. Protokół IPv4

23. Protokół IPv6

24. Usługa FTP

25. Usługa Telnet

26. Protokół SNMP

27. Technologia WWW

28. Protokół HTTP

29. Protokół SSL

30. Bezpieczeństwo poczty elektronicznej

31. Podpis elektroniczny

32. Twierdzenie Nyquista i Shannona

33. Budowa i zasady działania prostych odbiorników i nadajników w sieciach światłowodowych

34. Kodowanie informacji w sieciach światłowodowych – sposoby kodowania, przykłady

35. Zakresy fal elektromagnetycznych

36. Struktura cyfrowego systemu radiokomunikacji

37. Propagacja sygnałów radiowych

38. Topologie lokalnych sieci bezprzewodowych

39. Standard 802.11

40. Standard Bluetooth

41. Zasady budowy algorytmów szyfrowania i deszyfrowania stosowane w sieciach komputerowych

42. Algorytmy typu DES

43. Algorytmy szyfrowania niesymetryczne typu RSA

44. Podpis elektroniczny oparty o algorytmy szyfrowania symetryczne i niesymetryczne

45. Funkcja skrótu działania i zastosowania w sieciach komputerowych

46. Metody autentykacji użytkownika stosowane w rozproszonych systemach komputerowych

47. Sieci typu VPN

48. Protokół IPSec

49. Ściany ogniowe i serwery Proxy w rozproszonych systemach komputerowych

50. Bezpieczeństwo globalnych systemów zarządzania

51. Protokół SSL i jego zastosowania

52. Metody archiwizacji informacji

53. Bezpieczeństwo poczty elektronicznej

54. Zasady certyfikacji informacji w sieciach komputerowych

55. Biometryczne metody autentykacji użytkownika

3. Sieci teleinformatyczne i problem jakości usług

3.1 Rozwój Internetu na świecie

3.2 Ewolucja usług szerokopasmowych

3.3 Telefonia komórkowa1. Systemy GSM- 9600 b/s- technologia HSCSD 43 kb/s- technologia GPRS 115 kb/s2. Standardy - protokół WAP - język WML3. Usługi - poczta - serwisy informacyjne - bankowość, handel

3.4 Obszary konwergencji informatyki i telekomunikacji

3.5 Istota konwergencji sieci

3.6 Jakość usług w protokole IPW środowisku IP jakość usług QoS może być scharakteryzowana przez zbiór parametrów:

1. opóźnienie – (odstęp czasu pomiędzy chwilą wysłania pakietu z jednego punktu sieci i odebrania go w innym punkcie sieci),

2. zmienność opóźnienia – (zakres, w którym zmienia się wartość opóźnienia mierzona dla pakietów należących do tego samego strumienia),

3. przepływność – (dostępna prędkość, z jaką pakiety mogą być transmitowane w sieci),

4. prawdopodobieństwo utraty pakietu – (współczynnik określający prawdopodobieństwo utraty pakietu).

3.7 Jakość usług w sieciach ATM

SIEĆ PO KONWERGENCJI

Zunifikowany transport IP

Aplikacjegłosowe

Aplikacjeobrazowe

Aplikacjedanych

Aplikacjedanych

INFRASTRUKTURA SIECI

Zarz

ądza

nie

siec

ią z

unifi

kow

anąAplikacje

ujednolicone

Zunifikowane i przyjazne aplikacje , zespolone sieci,jednolite zarządzanie siecią

Ethernet Frame Relay ATM Token

Ring Inne

VBR – czas rzeczywisty (obrazy) ABR – niezdefiniowana szybkość transmisji (co zostaje) UBR – możliwość tracenia pakietów

3.8 Kształtowanie przepływu ruchu w sieci

3.9 Funkcja kształtująca i algorytmy działania1. algorytm kubełkowy,

2. kolejkowanie typu FIFO,

3. kolejkowanie priorytetowe.

3.10 Struktura pola TOS pakietu IP

3.11 Znakowanie usług (pole TOS ramki)

Typy usług:

1. minimalizacja opóźnienia przesyłu (minimize delay),

2. maksymalizacja przepustowości (maximize throughput),

3. maksymalizacja wiarygodności przesyłu (maximize reliability),

4. minimalizacja kosztów przesyłu (minimize cost).

Ruch w sieciRuch generowanyprzez aplikację

Funkcjakształtująca

1 2 3 4 5 6 7 8

priorytetnie

używane

prze

pust

owoś

ć

opóź

nien

ie

wia

rygo

dnoś

ćpr

zesy

łu

3.12 Model usług zintegrowanych 1. Model zintegrowany IntServ

a. GS (Guaranteed Service) – usługa gwarantowana

b. CL (Contolled Load Service) – usługa kontrolowanego obciążenia

c. Best Effort – usługa nisklasyfikowana

2. Protokół MPLS,

3. Model usług DiffServ,

4. MultiProtocol Label Switching (MPLS).

3.13 Wnioski końcowe

1. duża szybkość transmisji (Gb/s)

2. rozwiązania konwergentne

3. rozwój zastosowań opartych o telefonię komórkową i łącza bezprzewodowe

4. QoS stanie się powszechnie obowiązującym standardem

4. Media transmisyjne w sieciach komputerowych

4.1 Media transmisyjne stosowane w sieciach komputerowych

1. kable i przewody miedziane

2. światłowody

3. sieć energetyczna (technologia PLC)

4. sieci bezprzewodowe oparte na falach elektromagnetycznych

5. sieci bezprzewodowe oparte na promieniowaniu podczerwonym

6. sieci bezprzewodowe oparte na łączach laserowych

4.2 Parametry mediów transmisyjnych

1. szybkość transmisji danych

2. maksymalna odległość między węzłami

3. koszty

4. łatwość eksploatacji

4.3 Typowe kable sieciowe

4.4 Zależność tłumienia od długości fali

4.5 Stożek akceptacji światłowodu

[dB/km]

Długość fali

Tłum

ieni

e

0.1[µm]

1.0

10

100

0.6 0.8 1.0 1.61.2 1.4 1.8

III o

kno

II ok

noI okn

o

Czoło rdzeniaKąt akceptacji

Stożek akceptacji

rdzeń n1

płaszcz n1

Θa

4.6 Schemat optycznego wzmacniacza światłowodowego

4.7 Zastosowanie wzmacniaczy optycznych

Pompaoptyczna

Sygnał optyczny 1.55 µm

Izolatoroptyczny

Sprzęgacz

Światłowóddomieszkowany

erbem... ...

Regenerator

Wzmacniaczmocy

Przedwzmacniacz

ŚwiatłowódŚwiatłowód

Światłowód Odbiornik

Światłowód

Nadajnik

4.8 Zwielokrotnienie TDM i WDM

Łączna przepływność 20 Gb/s

(przy zwielokrotnieniu WDM=8)

4.8 Kształt solitonu podstawowego

Sygnałyoptyczne

λ 1 λ 2 λ 3λ 8

λλ

λ

λ

1

2

3

8

WDM...

...

4.9 Elementy składowe systemu PLC

4.10 System PLC

SiećRozległa

M

AA

S CM - część zewnętrznaS, C, A - część domowa

4.11 Sieć lokalna bezprzewodowa pracująca zgodnie ze standardem „Siny ząb”

4.12 Dwa niezależne segmenty sieci typu BSS. Sieć lokalna WLAN 802.11

4.13 Siec z punktami dostępowymi (802.11)

4.14 Konfiguracja z użyciem punktów dostępu (802.11)

Serwer

AP 1 AP 3AP 2

Bezpieczeństwo: system ID ACL RADIUS (serwer ochrony)

4.15 Rozwiązanie sieci opartej o protokół WAP i telefony komórkowe

4.16 Wnioski1. sieci światłowodowe

2. sieci typu LAN (bezprzewodowe)

3. telefonia komórkowa

Sieć komórkowa

Klient

Sieć Internet

SerwerWWW

WAPProxy

język WML ( HTML/WML ) WTP ( transmisja ) WTLS ( bezpieczeństwo ) WDP ( datagram )

5. Podstawowe problemy bezpiecznego przechowywania i przesyłu informacji w systemach komputerowych

5.1 Rozwój mechanizmów i systemów bezpieczeństwa

5.2 Bezpieczeństwo systemu rozproszonego (sieciowego)Założenia modelu bezpieczeństwa:

1. informacja może „wędrować” po całej sieci

2. węzły chronią swoje własne zasoby ( strategia bezpieczeństwa)

3. jednostka aktywna może generować żądanie dostępu

4. jednostka aktywna ma zdefiniowane swoje prawa

5. Węzły przyjazne udostępniają swoje zasoby

6. Węzły tego samego typu tworzą region zaufania

5.3 Model działania systemu rozproszonego

Założenia:

1. routery przeźroczyste ze względu strategii bezpieczeństwa

2. użytkownik współpracuje z jednym węzłem

3. węzeł zasobów odbiera żądanie dostępu od węzła pośredniego

Użytkownikwęzeł wejścia węzeł pośredni węzeł zasobowy

obiektrouter

. . . . . .

Zależności zaufania:

1. węzeł sprawdza autentyczność użytkownika

2. użytkownik sprawdza autentyczność węzła

3. węzeł wejścia sprawdza autentyczność węzła pośredniego

4. węzeł pośredni sprawdza autentyczność węzła zasobów

5. węzeł zasobów sprawdza prawa dostępu

6. Komunikacja zabezpieczona

5.4 Szyfrowanie przechowywanej informacji

Zastosowania:

1. ochrona danych osobowych

2. ochrona przechowywanej informacji

hasło

Komputerosobisty

Programszyfrująco-deszyfrującyklucz

ObszarObszarchronionychroniony

ObszarObszarroboczyroboczy

odszyfruj

szyfruj

5.5 Poufność przechowywanych plików

5.6 Wymiana plików w zamkniętej grupie użytkowników

INTERNET

Intruz przechwycił przesyłkę,ale jej nie odczyta !

Szyfrowaniekluczem sesjiKompresjaChroniony

dokument

Dołączaniedo

wiadomości

Szyfrator plikówSecInfoWay

5.7 Bezpieczeństwo poczty elektronicznej

5.8 Podpisywanie wiadomości

INTERNET

SecMail SecKeyRing

Serwerkluczy

Kluczpubliczny

Kluczprywatny

Certyfikaty

SzyfrowanieRSA

Kluczprywatnynadawcy

Skrót SHA

Podpis cyfrowy

Dokument

5.9 Sprawdzanie podpisu

5.10 Szyfrowanie wiadomości

Skrót SHA

Podpis cyfrowy

Skrót otrzymany Skrót obliczony

Wiadomość

RSAdeszyfrowanie

?

=

Kluczpublicznynadawcy

Dokument

Kompresja

Losowykluczsesji

Szyfrowaniedanych

Kluczpublicznyodbiorcy

Zaszyfrowane daneoraz

klucz sesji

SzyfrowanieRSA

5.11 Odszyfrowanie wiadomości

5.12 System zaporowy

RSAdeszyfrowanie

Odszyfrowanie danych

Zaszyfrowane daneoraz klucz sesji

Kluczprywatnyodbiorcy

Dokument Dekompresja

Zaszyfrowany klucz sesji

Klucz sesji

Zaszyfrowane dane

NadawcaOdbiorca

INTRANET

Systempocztowy System

zaporowy

Serweranalizującyzawartość

Przesyłkaod nadawcy

Przesyłkaod nadawcy

INTERNET

Przekazaniedo kontroli

„Poprawiony”dokument

lub informacjao odrzuceniu

5.13 Bezpieczeństwo informacji na stronach WWW

5.14 Kryptoanaliza – klasyfikacja metod łamania szyfrów

1. Łamanie brutalne

2. Łamanie z szyfrogramami

3. Łamanie ze znanym tekstem jawnym

4. Łamanie z wybranym tekstem jawnym

5. Łamanie z adaptacyjnie wybranym tekstem jawnym

6. Łamanie z wybranym szyfrogramem

7. Łamanie z wybranym kluczem

Moduł

zarządzający

Moduł

zarządzający

INTERNET

Serwerz zabezpieczonymi

stronami Serweraplikacji

Użytkownicy

Administratorstron

5.15 Wdrożenie systemu zarządzania bezpieczeństwem informacji

5.16 Zarządzanie bezpieczeństwem systemów informatycznych jako proces

Inicjatywa

Planowanie

Wdrożenie

Utrzymanie

Opracowanie zrębów polityki bezpieczeństwa

Koncepcja bezpieczeństwa - dobór zabezpieczeń

Wdrożenie zabezpieczeń

Szkolenie - uświadamianie

Utrzymanie stanu bezpieczeństwa

START

Zarządzanie konfiguracją

Zarządzanie zmianami

Zarządzanie ryzykiem

Monitorowanie

Uświadamianie =Bezpieczeństwo

Analiza ryzyka

Podczas projektowania, dlanowych systemów, podczas eksploatacji,

podczas kontroli zabezpieczeń,przy planowanych zmianach

Identyfikacja nowych wymagań(procedury, funkcje, aktualizacje,

połączenia, użytkownicy)

Śledzenie zmianw konfiguracji systemu,

aby nie obniżały onebezpieczeństwa

5.17 Bezpieczeństwo systemów e-biznes

5.18 Wnioski końcowe1. Bezpieczeństwo systemów komputerowych zależy od wielu czynników.

2. Konieczne „projektowanie bezpieczeństwa” dla określonej aplikacji.

3. Rozwiązywanie mechanizmów bezpieczeństwa w oparciu o w pełni znane moduły programowe lub sprzętowe.

INTERNET

PartnerBaza

danych

SerwerWWW

Serwerbazodanowy

Serwertransakcji

System B2Bfirmy ABC

Pozostałe systemy firmy

PartnerPartner

6. Wirtualne sieci prywatne

6.1 VPN

SK - System komputerowy przedsiębiorstwa

6.2 Sieci VPN (Virtual Private Network)

a) VPN Remote-Access

b) VPN Site-to Site

a) Użytkownik z siecią lokalną

NAS - Network Access Server

WAN

SK 3

SK 2

SK 5 SK 4

Połączenia logiczne Połączenia fizyczne

SK 3

SK 2

SK 5 SK 4

SK 1 SK 1

INTERNET LANNAS

MC Użytkownik VPNEnterprise

ServiceProvider

b) Wirtualne połączenia dwóch ośrodków

6.3 Enkapsulacja

6.4 VPN cd1. Składniki VPN:

a) oprogramowanie użytkownika,

b) zapory ogniowe,

c) dedykowany serwer (NAS).

2. Bezpieczeństwo VPN:

a) zapory ogniowe,

b) szyfrowanie symetryczne,

c) szyfrowanie niesymetryczne.

INTERNETLAN LAN

Brama Brama

Stacja A Stacja B

dane

TCP

IP

IPSec

sieć ( PPP, Ethernet )

3. Tunelowanie

Cały pakiet w innym pakiecie.

Trzy protokoły:

a) protokół transportowy - Carrier Protocol (transport informacji),

b) protokół kapsułowania lub tunelowania - GRE, IPSec (owjanie oryginalnych danych),

c) protokół przenoszenia - IP, IPX, ... .

Zdalny dostęp oparty o PPP:

PPTP (Point to Point Tuneling Protocol).

4. IP Security

Dwa tryby szyfrowania tunelowy i transportowy:

a) tunelowy szyfruje nagłówek i ładunek,

b) transportowy szyfruje ładunek.

6.5 Protokół IPSec

Tryb tunelowy

Tryb transportowy

N D

N DN

IP

IPSec

IP

N Jawne dane i nagłówekD

N DN N

IP

IPSecIPZaszyfrowane dane i nagłówek

Nowy nagłówek

6.6 IPSec1. IPSec - trzy protokoły:

1.a) AH - Autentication Header,

1.b) ESP - Encapsulation Security Protocol,

1.c) ISAKMP - Internet Security Association and Key Management Protocol.

2. AH - Uwierzytelnianie, integralność (suma kontrolna) i pochodzenie danych (tajny dzielony klucz).

3. ESP - Szyfrowanie (symetryczny współdzielony klucz).

4. ISAKMP - Struktura negocjowania, generowanie kluczy i ich odświeżanie.

5. Serwer AAA

5.a) Autentication, Authorization, Accounting.

5.b) Remote Access.

6. Serwer sprawdza autentyfikacje użytkownka i jego uprawnienia.

6.7 Wnioski końcoweSieci VPN:

1. Podnoszą bezpieczeństwo informacji

2. rozproszonych systemów komputerowych

3. Stwarzają możliwości budowy

4. bardziej efektywnych aplikacji

7. Strategia gospodarki elektronicznej

7.1 Model mediów

7.2 Gospodarka elektroniczna

Czytelnik

Internauta

MODEL NADAWCA DRUK INTERNET

Witrynainternetowa

GazetaStacja

telewizyjna

RadioTelewizor

Media

Widownia

Zawartość Reklama

AdministracjaKonsument

Biznes

Biznes

Technologia WWW

Handel elektroniczny → Aukcje → Giełda internetowa

Problemy:

1. prezentacje wyrobu, usług, itp.

2. aktualizacja prezentowanych danych

3. autentyfikacja użytkownika

4. bezpieczeństwo system

7.3 Model koncepcyjny portali horyzontalnych

Portal horyzontalny

Internauta

Temat 1 Temat 2 . . . Temat n

Zawartość i reklama

7.4 Model koncepcyjny portalu wertykalnego

7.5 Przemysłowa giełda internetowa

Przypadek I

Portal wertykalny

Internauta

Specyficzny temat

Podtemat 1

Podtemat 2

. . .

Podtemat n

Zawartość i

reklama

Giełda Inicjacjaprocesu

Kupujący

Parametr czasu Ochrona informacji o dostawach i klientach Analiza sytuacji

Kupujący

Kupujący

Dostawca

Dostawca

Dostawca

Przypadek II

7.6 Architektura systemów e-business

GiełdaKupujący

Parametr czasu Ochrona informacji o dostawach i klientach Analiza sytuacji

Kupujący

Kupujący

Dostawca

Dostawca

Dostawca

Inicjacjaprocesu

Organizacja A

WebserverINTERNET

Router

Transactiondatabase

Transactionserver

Organizacja B

PC workstation

Databaseserver

Webserver

Router

Transactiondatabase

Transactionserver

PC workstation

Databaseserver

8. Identyfikacja użytkownika w sieci internet

8.1 Rozwój metod identyfikacji

1. Logowanie nazwa-hasło

2. Metoda wezwanie-odpowiedź

1. współdzielony klucz

2. Metody oparte o klucz prywatny i publiczny

3. Centrum dystrybucji klucza

4. Protokoły identyfikacyjne

1. Fiata Shanona

2. FFS

3. GQ

5. Kerberos

3. Karty plastikowe, zapis magnetyczny – trzy ścieżki (76, 37 i 105 znaków)

4. Karty elektroniczne pamięciowe 1kB – 1MB

5. Karty elektroniczne procesorowe (DES, RSA)

6. Rozwiązania specjalne (cechy biologiczne, dialog)

8.2 Podpis elektroniczny

Ustawa o podpisie elektronicznym z dnia 16 sierpnia 2002r.

„Bezpieczny podpis, to podpis, który:

• Jest przyporządkowany wyłącznie do osoby składającej ten podpis,

• Jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składajacej podpis elektroniczny bezpiecznych uządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,

• Jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek póżniejsza zmiana tych danych jest rozpoznawalna.”

8.3 podpis oparty o symetryczny algorytm kryptograficzny

1. „A” szyfruje wiadomość dla „B” kluczem KA (do arbitra).

2. Arbiter deszyfruje wiadomość KA i stwierdza, że pochodzi ona od „A”.

3. Arbiter szyfruje wiadomość KB i wysyła do „B”.

4. „B” odszyfrowuje KB i porównuje z informacją od „A” zdeszyfrowaną kluczem KA.

Informacje te same, to wysyła je „A”.

8.4 Podpis oparty o niesymetryczne algorytmy kryptograficzne (RSA)

Protokół przedstawia się następująco:

• Alicja szyfruje dokument przy uzyciu własnego klucza prywatnego, tym samym go podpisuje,

• Alicja przesyła podpisany dokument Bobowi,

• W celu sprawdzenia podpisu Bob deszyfryje dokument za pomocą klucza publicznego Alicji.

Protokół ten spełnia następujące wymagania:

• Podpis jest autentyczny; kiedy odbiorca weryfikuje wiadomość za pomocą klucza publicznego nadawcy, wie, że to on ją podpisał.

• Podpis jest niepodrabialny, gdyż jedynie nadawca zna swój klucz prywatny.

• Podpis nie jest ponownie używany; podpis funkcjonuje razem z dokumentem i nie może być przeniesiony do dowolnego innego dokumentu.

• Podpisany dokument jest niezmienialny; jeśli wystąpi najmniejsza modyfikacja dokumentu, to nie może on być nadal sprawdzany przy użyciu klucza publicznego nadawcy.

• Nie można wyprzeć się podpisu. Odbiorca nie potrzebuje pomocy ze strony nadawcy, aby sprawdzić jego podpis.

ARBITER

BA

← KBKA →

← KAKA → ← KB

8.5 Funkcje podpisu cyfrowego

Podpis tradycyjny Podpis cyfrowyCechy wspólne

• przypisany jednej osobie• niemożliwy do podrobienia• uniemożliwiający wyparcie się go przez autora• łatwy do weryfikacji• łatwy do wygenerowania

Różnice

• związany nierozłącznie z dokumentem• taki sam dla wszystkich dokumentów• stawiany na ostatniej stronie dokumentu

• może być składowany i transmitowany niezależnie od dokumentu

• będący funkcją dokumentu• obejmuje cały dokument

Nadawca szyfrując wiadomość swoim kluczem prywatnym przekształca ja w sposób wskazujący,

że jest jej autorem. Odbiorca, po odszyfrowaniu kryptogramu kluczem publicznym nadawcy

otrzyma czytelną wiadomość, będzie miał gwarancję, iż wiadomość została podpisana przy użyciu

klucza prywatnego tego właśnie nadawcy.

• uwierzytelnianie

• niezaprzeczalność

• integralność

• identyfikacyjność

• poufność

8.6 Tworzenie podpisu cyfrowego

Jednokierunkowa funkcja skrótu:

• bardzo łatwo obliczyć skrót na podstwie ciągu wejściowego,

• bardzo trudno wygenerować ciąg znając funkcję skrótu,

MD-5, SHA, MD-2 128-160 bitów.

8.7 Tworzenie podpisu cyfrowego

8.8 Weryfikacja podpisu cyfrowego

Tworzenieskrótu

WiadomośćSkrót

wiadomości

Klucz prywatnyNadawcy

Szyfrowanieskrótu

PODPIS

Wiadomość i podpis cyfrowy

Przesyłanie siecią do Nadawcy

PODPIS

Skrót odebranyi odszyfrowany

Klucz publicznyNadawcy

Skrót wyliczony

Deszyfrowaniepodpisu

ODBIORCA

Tworzenieskrótu

Wiadomość

PODPIS

?

=

8.9 Dystrybucja klucza

• Znajomość klucza publicznego → pewność autorstwa

• Certyfikat to klucz publiczny podpisany przez osobę godną zaufania

8.10 Standard X509

Struktura certyfikatu:

1. organ certyfikujący

2. co zawiera certyfikat

Unieważnianie

RejestracjaGenerowanie pary kluczyTworzenie certyfikatu i dystrybucja pary kluczyRozpowszechnianie certyfikatuArchiwizacja klucza

Wyszukiwanie certyfikatówWeryfikacja certyfikatówOdtwarzanie kluczyOdnawianie kluczy

Upływanie daty ważności certyfikatuUnieważnianie certyfikatuHistoria kluczaArchiwizowanie klucza

Inicjowanie

Wydawanie

8.11 Modele zaufania

1. Model ze ścisłą hierarchią centrów certyfikacji

2. Model zaufania skoncentrowany na użytkowniku

GŁÓWNE CENTRUM CERTYFIKACJI

WARSTWYPOŚREDNICH OŚRODKÓW

CERTYFIKACYJNYCH(nie zawsze muszą

występować)

KOŃCOWI UŻYTKOWNICY(nie będącymi ośrodkami

certyfikacji)

ALICJA BOB

Przyjaciel

MatkaPrzyjaciółka

Siostra

DawidRobert

ALICJA BOB

8.12 Zasadnicze problemy bezpieczeństwa podpisu elektronicznego

Środki poprawiające bezpieczeństwo:

• Kwantowe metody dystrybucji klucza

• Rozwinięte metody autentyfikacji użytkownika

8.13. Dwukanałowa identyfikacja użytkownika

• Nazwa i hasło przekazywane poprzez Internet

• Wygenerowanie poświadczeń

• Wygenerowanie tokena i SMS (token ze stemplem czasowym)

• Pobranie tokena z serwera WWW (Internet)

• Pobranie tokena z telefonu komórkowego

• Porównanie tokenów (jeśli zgodne to dostęp do strony)

Zagrożenia przydystrybucji kluczy

Zagrożenia związanez autentyfikacją uzytkownika

Klasyczny podpiselektroniczny

InternetSerwerWWW

Bazadanych

MSMSTelefon komórkowy Modem GSM

(U)

(U)

Użytkownik wykorzystuje dwa kanały transmisji (internetowy i telefoni komórkowej).

Mankamentem tej metody jest zagrożenie przejęcia przez osobę niepowołaną telefonu

komórkowego.

Karta AXIONICS jako element autentyfikacji:

• Aktywizują kartę linie papilarne

• Nr Karty przesyłany poprzez Internet

• Serwer generuje jednorazowy klucz

• Klucz odebrany (optycznie) przez Kartę

• Użytkownik wprowadza klucz poprzez sieć Internet

9. Globalne systemy zarządzania a bezpieczeństwo informacji

9.1 Globalne komputerowe systemy zarządcze

Parametry:

• Transmisje tysiące kilometrów

AXIO NICS

µP

Skanerlinii papilarnych (x3)

Wyświetlacz

Wyświetla klucz

7 czujnikówświatła

Monitorekranowy

Internet

SerwerWWW

BazadanychKlucz

Klucz

Nr Karty

Jednorazowy klucz

gF8A3

POZIOMZARZĄDU

POZIOMREGIONU

POZIOMREGIONU

POZIOMREGIONU

POZIOM ZAKŁADU

POZIOM ZAKŁADU

POZIOM ZAKŁADU

POZIOM ZAKŁADU

POZIOM ZAKŁADU

POZIOM ZAKŁADU

• Liczba komputerów powyżej 10 000 szt.

• Protokół TCP/IP

9.2 Warunki bezpieczeństwa

• Struktura minimalnych przywilejów

• Dogłębna obrona (wiele mechanizmów)

• Wąskie przejścia (kanały kontrolowane)

• Określenie najsłabszego ogniwa

• Bezpieczeństwo w razie awarii

1. Zasada domyślnego zakazu (dopuszczone to co zdefiniowano jako pozwolono)

2. Zasada powszechnej współpracy

3. Różne poziomy bezpieczeństwa

9.3 Algorytmy szyfrujące

Algorytm szyfrowania danych Długość kluczaDES 56 bit

Potrójny DES 128 bitRijndael 256 bit

RSA 512 – 1536 bit

9.4 Rozwiązania sprzętoweZapory ogniowe

Filtrowanie:

• Adres źródłowy

• Adres docelowy

• Typ protokołu

• Port źródłowy TCP lub UDP

• Port docelowy TCP lub UDP

• Wielkość pakietu

Wprowadzenie usług pośrednich

9.5 Zasada usługi pośredniczenia

9.6 Zasada sieci peryferyjnej

9.7 Wnioski końcowe

• Złożone zasady bezpieczeństwa

• Bezpieczeństwo włączone w proces projektowania systemu

Perspektywy

• Rozwój technologii VPN

• Rozwój technologii sieci bezprzewodowych zwłaszcza 802.16