zastosowanie sieci komputerowych
TRANSCRIPT
Wyższa Szkoła Biznesu w Dąbrowie Górniczej
ZASTOSOWANIE SIECI KOMPUTEROWYCH
materiały dydaktyczne
prof. dr hab. inż Andrzej Grzywak
Dąbrowa Górnicza 2010
Spis treści1. Program wykładu..............................................................................................................................42. Tematy prac kontrolnych..................................................................................................................63. Sieci teleinformatyczne i problem jakości usług..............................................................................8
3.1 Rozwój Internetu na świecie......................................................................................................83.2 Ewolucja usług szerokopasmowych..........................................................................................83.3 Telefonia komórkowa................................................................................................................83.4 Obszary konwergencji informatyki i telekomunikacji...............................................................93.5 Istota konwergencji sieci.........................................................................................................103.6 Jakość usług w protokole IP....................................................................................................103.7 Jakość usług w sieciach ATM..................................................................................................113.8 Kształtowanie przepływu ruchu w sieci..................................................................................113.9 Funkcja kształtująca i algorytmy działania..............................................................................113.10 Struktura pola TOS pakietu IP...............................................................................................123.11 Znakowanie usług (pole TOS ramki).....................................................................................123.12 Model usług zintegrowanych.................................................................................................123.13 Wnioski końcowe..................................................................................................................13
4. Media transmisyjne w sieciach komputerowych............................................................................144.1 Media transmisyjne stosowane w sieciach komputerowych...................................................144.2 Parametry mediów transmisyjnych..........................................................................................144.3 Typowe kable sieciowe............................................................................................................144.4 Zależność tłumienia od długości fali.......................................................................................154.5 Stożek akceptacji światłowodu................................................................................................154.6 Schemat optycznego wzmacniacza światłowodowego............................................................164.7 Zastosowanie wzmacniaczy optycznych.................................................................................164.8 Zwielokrotnienie TDM i WDM...............................................................................................174.8 Kształt solitonu podstawowego...............................................................................................174.9 Elementy składowe systemu PLC............................................................................................184.10 System PLC...........................................................................................................................184.11 Sieć lokalna bezprzewodowa pracująca zgodnie ze standardem „Siny ząb”.........................194.12 Dwa niezależne segmenty sieci typu BSS. Sieć lokalna WLAN 802.11...............................194.13 Siec z punktami dostępowymi (802.11).................................................................................204.14 Konfiguracja z użyciem punktów dostępu (802.11)..............................................................204.15 Rozwiązanie sieci opartej o protokół WAP i telefony komórkowe.......................................214.16 Wnioski..................................................................................................................................21
5. Podstawowe problemy bezpiecznego przechowywania i przesyłu informacji w systemach komputerowych..................................................................................................................................22
5.1 Rozwój mechanizmów i systemów bezpieczeństwa...............................................................225.2 Bezpieczeństwo systemu rozproszonego (sieciowego)...........................................................225.3 Model działania systemu rozproszonego.................................................................................225.4 Szyfrowanie przechowywanej informacji...............................................................................23
5.5 Poufność przechowywanych plików............................................................................................245.6 Wymiana plików w zamkniętej grupie użytkowników............................................................245.7 Bezpieczeństwo poczty elektronicznej....................................................................................255.8 Podpisywanie wiadomości.......................................................................................................255.9 Sprawdzanie podpisu...............................................................................................................265.10 Szyfrowanie wiadomości.......................................................................................................265.11 Odszyfrowanie wiadomości...................................................................................................275.12 System zaporowy...................................................................................................................275.13 Bezpieczeństwo informacji na stronach WWW....................................................................285.14 Kryptoanaliza – klasyfikacja metod łamania szyfrów...........................................................285.15 Wdrożenie systemu zarządzania bezpieczeństwem informacji.............................................29
5.16 Zarządzanie bezpieczeństwem systemów informatycznych jako proces..............................295.17 Bezpieczeństwo systemów e-biznes......................................................................................305.18 Wnioski końcowe..................................................................................................................30
6. Wirtualne sieci prywatne................................................................................................................316.1 VPN.........................................................................................................................................316.2 Sieci VPN (Virtual Private Network)......................................................................................316.3 Enkapsulacja............................................................................................................................326.4 VPN cd.....................................................................................................................................326.5 Protokół IPSec.........................................................................................................................336.6 IPSec........................................................................................................................................336.7 Wnioski końcowe....................................................................................................................34
7. Strategia gospodarki elektronicznej...............................................................................................357.1 Model mediów.........................................................................................................................357.2 Gospodarka elektroniczna........................................................................................................357.3 Model koncepcyjny portali horyzontalnych............................................................................367.4 Model koncepcyjny portalu wertykalnego..............................................................................377.5 Przemysłowa giełda internetowa.............................................................................................377.6 Architektura systemów e-business...........................................................................................38
8. Identyfikacja użytkownika w sieci internet....................................................................................398.1 Rozwój metod identyfikacji.....................................................................................................398.2 Podpis elektroniczny................................................................................................................398.3 podpis oparty o symetryczny algorytm kryptograficzny.........................................................398.4 Podpis oparty o niesymetryczne algorytmy kryptograficzne (RSA).......................................408.5 Funkcje podpisu cyfrowego.....................................................................................................418.6 Tworzenie podpisu cyfrowego.................................................................................................418.7 Tworzenie podpisu cyfrowego.................................................................................................428.8 Weryfikacja podpisu cyfrowego..............................................................................................428.9 Dystrybucja klucza..................................................................................................................438.10 Standard X509.......................................................................................................................438.11 Modele zaufania.....................................................................................................................448.12 Zasadnicze problemy bezpieczeństwa podpisu elektronicznego...........................................45
8.13. Dwukanałowa identyfikacja użytkownika................................................................................459. Globalne systemy zarządzania a bezpieczeństwo informacji.........................................................46
9.1 Globalne komputerowe systemy zarządcze.............................................................................469.2 Warunki bezpieczeństwa..........................................................................................................479.3 Algorytmy szyfrujące...............................................................................................................479.4 Rozwiązania sprzętowe............................................................................................................479.5 Zasada usługi pośredniczenia..................................................................................................489.6 Zasada sieci peryferyjnej.........................................................................................................489.7 Wnioski końcowe....................................................................................................................49
1. Program wykładu
Przedmiot: Zastosowanie sieci komputerowych Wykładowca: prof. dr hab. inż.. Andrzej Grzywak
1. Usługi w Sieciech teleinformatycznych a szybkość transmisji informacji
2. Podstawowe mechanizmy w sieciach typu ATM poprawiające szybkość transmisji
3. Budowa pakietów sieci ATM
4. Klasyfikacja usług ATM
5. Architektura sieci ATM
6. Zarządzanie siecią ATM
7. Zastosowanie sieci ATM
8. Sieci teleinformatyczne i problemy jakości usług
9. Jakość usług w protokole IP
10. Zastosowanie sieci typu VPN
11. Protokół IP Sec i jego cechy
12. Softwarowe metody szyfrowania informacji
13. Ściany ogniowe i serwery typu proxy jako elementy ochrony sieci lokalnych
14. Sprzętowe metody autentyfikacji użytkownika
15. Bezpieczeństwo wymiany dokumentów elektronicznych
16. Sieci bezprzewodowe WLAN
17. Protokół SSL dla ochrony serwera www
18. Wyszukiwarki internetowe ich zasada działania i klasyfikacja
19. Dynamiczna aktualizacja stron internetowych
20. Zniekształcenia w optyce światłowodowej
21. Wykrywanie błędów w transmisji cyfrowej
22. Usługa FTP
23. Usługa Telnet
24. Protokół SNMP
25. Technologia WWW
26. Protokół HTTP
27. Protokół SSL
28. Bezpieczeństwo poczty elektronicznej
29. Podpis elektroniczny
30. Bezpieczeństwo globalnych systemów zarządzania
31. Zasady budowy systemów gospodarki elektronicznej
32. Media transmisyjne sieci komputerowych
33. Twierdzenie Nyqwista i twierdzenie Shanona
Literatura:
K. Tenebaum, „Sieci komputerowe”, WNT 2004
A. Domański, J Domańska , A Grzywak Sieci komputerowe 2007
A.Kapczyński , Ziębiński, „Narzędzia bezpieczeństwa systemów komputerowych
WSB 2007
E. Douglas, „Sieci komputerowe i Intersieci”, WNT 2003
M. Hassan, R. Jain, „Wysoko wydajne sieci TCP/IP”, Helion 2004
W. Buchanan, „Sieci Komputerowe”, WŁK 1999
W. Buchanan, „Intersieci”, WKŁ 2001
A. Grzywak , J Klamka , A . Kapczyński, M Sobota, Współczesne problemy bezpieczeństwa informacji , WSB 2008
2. Tematy prac kontrolnych
Przedmiot: ZASTOSOWANIE SIECI KOMPUTEROWYCHWykładowca: prof. Andrzej Grzywak
Tematy prac kontrolnych:
1. Usługi w sieciach teleinformatycznych a szybkość transmisji informacji
2. Podstawowe mechanizmy w sieciach typu ATM poprawiające szybkość transmisji
3. Budowa pakietów sieci ATM
4. Klasyfikacja usług ATM
5. Architektura sieci ATM
6. Zarządzanie siecią ATM
7. Zastosowanie sieci ATM
8. Sieci teleinformatyczne i problemy jakości usług
9. Jakoś usług w protokole IP
10. Zastosowanie sieci typu VPN
11. Protokół IP Sec i jego cechy
12. Softwarowe metody szyfrowania informacji
13. Ściany ogniowe i serwery typu Proxy jako elementy ochrony sieci lokalnych
14. Sprzętowe metody autentykacji użytkownika
15. Bezpieczeństwo wymiany dokumentów elektronicznych
16. Sieci bezprzewodowe WLAN
17. Protokół SSL dla ochrony serwera WWW
18. Wyszukiwarki internetowe ich zasada działania i klasyfikacja
19. Dynamiczna aktualizacja stron internetowych
20. Zniekształcenia w optyce światłowodowej
21. Wykrywanie błędów w transmisji cyfrowej
22. Protokół IPv4
23. Protokół IPv6
24. Usługa FTP
25. Usługa Telnet
26. Protokół SNMP
27. Technologia WWW
28. Protokół HTTP
29. Protokół SSL
30. Bezpieczeństwo poczty elektronicznej
31. Podpis elektroniczny
32. Twierdzenie Nyquista i Shannona
33. Budowa i zasady działania prostych odbiorników i nadajników w sieciach światłowodowych
34. Kodowanie informacji w sieciach światłowodowych – sposoby kodowania, przykłady
35. Zakresy fal elektromagnetycznych
36. Struktura cyfrowego systemu radiokomunikacji
37. Propagacja sygnałów radiowych
38. Topologie lokalnych sieci bezprzewodowych
39. Standard 802.11
40. Standard Bluetooth
41. Zasady budowy algorytmów szyfrowania i deszyfrowania stosowane w sieciach komputerowych
42. Algorytmy typu DES
43. Algorytmy szyfrowania niesymetryczne typu RSA
44. Podpis elektroniczny oparty o algorytmy szyfrowania symetryczne i niesymetryczne
45. Funkcja skrótu działania i zastosowania w sieciach komputerowych
46. Metody autentykacji użytkownika stosowane w rozproszonych systemach komputerowych
47. Sieci typu VPN
48. Protokół IPSec
49. Ściany ogniowe i serwery Proxy w rozproszonych systemach komputerowych
50. Bezpieczeństwo globalnych systemów zarządzania
51. Protokół SSL i jego zastosowania
52. Metody archiwizacji informacji
53. Bezpieczeństwo poczty elektronicznej
54. Zasady certyfikacji informacji w sieciach komputerowych
55. Biometryczne metody autentykacji użytkownika
3. Sieci teleinformatyczne i problem jakości usług
3.1 Rozwój Internetu na świecie
3.2 Ewolucja usług szerokopasmowych
3.3 Telefonia komórkowa1. Systemy GSM- 9600 b/s- technologia HSCSD 43 kb/s- technologia GPRS 115 kb/s2. Standardy - protokół WAP - język WML3. Usługi - poczta - serwisy informacyjne - bankowość, handel
3.4 Obszary konwergencji informatyki i telekomunikacji
3.5 Istota konwergencji sieci
3.6 Jakość usług w protokole IPW środowisku IP jakość usług QoS może być scharakteryzowana przez zbiór parametrów:
1. opóźnienie – (odstęp czasu pomiędzy chwilą wysłania pakietu z jednego punktu sieci i odebrania go w innym punkcie sieci),
2. zmienność opóźnienia – (zakres, w którym zmienia się wartość opóźnienia mierzona dla pakietów należących do tego samego strumienia),
3. przepływność – (dostępna prędkość, z jaką pakiety mogą być transmitowane w sieci),
4. prawdopodobieństwo utraty pakietu – (współczynnik określający prawdopodobieństwo utraty pakietu).
3.7 Jakość usług w sieciach ATM
SIEĆ PO KONWERGENCJI
Zunifikowany transport IP
Aplikacjegłosowe
Aplikacjeobrazowe
Aplikacjedanych
Aplikacjedanych
INFRASTRUKTURA SIECI
Zarz
ądza
nie
siec
ią z
unifi
kow
anąAplikacje
ujednolicone
Zunifikowane i przyjazne aplikacje , zespolone sieci,jednolite zarządzanie siecią
Ethernet Frame Relay ATM Token
Ring Inne
VBR – czas rzeczywisty (obrazy) ABR – niezdefiniowana szybkość transmisji (co zostaje) UBR – możliwość tracenia pakietów
3.8 Kształtowanie przepływu ruchu w sieci
3.9 Funkcja kształtująca i algorytmy działania1. algorytm kubełkowy,
2. kolejkowanie typu FIFO,
3. kolejkowanie priorytetowe.
3.10 Struktura pola TOS pakietu IP
3.11 Znakowanie usług (pole TOS ramki)
Typy usług:
1. minimalizacja opóźnienia przesyłu (minimize delay),
2. maksymalizacja przepustowości (maximize throughput),
3. maksymalizacja wiarygodności przesyłu (maximize reliability),
4. minimalizacja kosztów przesyłu (minimize cost).
Ruch w sieciRuch generowanyprzez aplikację
Funkcjakształtująca
1 2 3 4 5 6 7 8
priorytetnie
używane
prze
pust
owoś
ć
opóź
nien
ie
wia
rygo
dnoś
ćpr
zesy
łu
3.12 Model usług zintegrowanych 1. Model zintegrowany IntServ
a. GS (Guaranteed Service) – usługa gwarantowana
b. CL (Contolled Load Service) – usługa kontrolowanego obciążenia
c. Best Effort – usługa nisklasyfikowana
2. Protokół MPLS,
3. Model usług DiffServ,
4. MultiProtocol Label Switching (MPLS).
3.13 Wnioski końcowe
1. duża szybkość transmisji (Gb/s)
2. rozwiązania konwergentne
3. rozwój zastosowań opartych o telefonię komórkową i łącza bezprzewodowe
4. QoS stanie się powszechnie obowiązującym standardem
4. Media transmisyjne w sieciach komputerowych
4.1 Media transmisyjne stosowane w sieciach komputerowych
1. kable i przewody miedziane
2. światłowody
3. sieć energetyczna (technologia PLC)
4. sieci bezprzewodowe oparte na falach elektromagnetycznych
5. sieci bezprzewodowe oparte na promieniowaniu podczerwonym
6. sieci bezprzewodowe oparte na łączach laserowych
4.2 Parametry mediów transmisyjnych
1. szybkość transmisji danych
2. maksymalna odległość między węzłami
3. koszty
4. łatwość eksploatacji
4.3 Typowe kable sieciowe
4.4 Zależność tłumienia od długości fali
4.5 Stożek akceptacji światłowodu
[dB/km]
Długość fali
Tłum
ieni
e
0.1[µm]
1.0
10
100
0.6 0.8 1.0 1.61.2 1.4 1.8
III o
kno
II ok
noI okn
o
Czoło rdzeniaKąt akceptacji
Stożek akceptacji
rdzeń n1
płaszcz n1
Θa
4.6 Schemat optycznego wzmacniacza światłowodowego
4.7 Zastosowanie wzmacniaczy optycznych
Pompaoptyczna
Sygnał optyczny 1.55 µm
Izolatoroptyczny
Sprzęgacz
Światłowóddomieszkowany
erbem... ...
Regenerator
Wzmacniaczmocy
Przedwzmacniacz
ŚwiatłowódŚwiatłowód
Światłowód Odbiornik
Światłowód
Nadajnik
4.8 Zwielokrotnienie TDM i WDM
Łączna przepływność 20 Gb/s
(przy zwielokrotnieniu WDM=8)
4.8 Kształt solitonu podstawowego
Sygnałyoptyczne
λ 1 λ 2 λ 3λ 8
λλ
λ
λ
1
2
3
8
WDM...
...
4.9 Elementy składowe systemu PLC
4.10 System PLC
SiećRozległa
M
AA
S CM - część zewnętrznaS, C, A - część domowa
4.11 Sieć lokalna bezprzewodowa pracująca zgodnie ze standardem „Siny ząb”
4.12 Dwa niezależne segmenty sieci typu BSS. Sieć lokalna WLAN 802.11
4.13 Siec z punktami dostępowymi (802.11)
4.14 Konfiguracja z użyciem punktów dostępu (802.11)
Serwer
AP 1 AP 3AP 2
Bezpieczeństwo: system ID ACL RADIUS (serwer ochrony)
4.15 Rozwiązanie sieci opartej o protokół WAP i telefony komórkowe
4.16 Wnioski1. sieci światłowodowe
2. sieci typu LAN (bezprzewodowe)
3. telefonia komórkowa
Sieć komórkowa
Klient
Sieć Internet
SerwerWWW
WAPProxy
język WML ( HTML/WML ) WTP ( transmisja ) WTLS ( bezpieczeństwo ) WDP ( datagram )
5. Podstawowe problemy bezpiecznego przechowywania i przesyłu informacji w systemach komputerowych
5.1 Rozwój mechanizmów i systemów bezpieczeństwa
5.2 Bezpieczeństwo systemu rozproszonego (sieciowego)Założenia modelu bezpieczeństwa:
1. informacja może „wędrować” po całej sieci
2. węzły chronią swoje własne zasoby ( strategia bezpieczeństwa)
3. jednostka aktywna może generować żądanie dostępu
4. jednostka aktywna ma zdefiniowane swoje prawa
5. Węzły przyjazne udostępniają swoje zasoby
6. Węzły tego samego typu tworzą region zaufania
5.3 Model działania systemu rozproszonego
Założenia:
1. routery przeźroczyste ze względu strategii bezpieczeństwa
2. użytkownik współpracuje z jednym węzłem
3. węzeł zasobów odbiera żądanie dostępu od węzła pośredniego
Użytkownikwęzeł wejścia węzeł pośredni węzeł zasobowy
obiektrouter
. . . . . .
Zależności zaufania:
1. węzeł sprawdza autentyczność użytkownika
2. użytkownik sprawdza autentyczność węzła
3. węzeł wejścia sprawdza autentyczność węzła pośredniego
4. węzeł pośredni sprawdza autentyczność węzła zasobów
5. węzeł zasobów sprawdza prawa dostępu
6. Komunikacja zabezpieczona
5.4 Szyfrowanie przechowywanej informacji
Zastosowania:
1. ochrona danych osobowych
2. ochrona przechowywanej informacji
hasło
Komputerosobisty
Programszyfrująco-deszyfrującyklucz
ObszarObszarchronionychroniony
ObszarObszarroboczyroboczy
odszyfruj
szyfruj
5.5 Poufność przechowywanych plików
5.6 Wymiana plików w zamkniętej grupie użytkowników
INTERNET
Intruz przechwycił przesyłkę,ale jej nie odczyta !
Szyfrowaniekluczem sesjiKompresjaChroniony
dokument
Dołączaniedo
wiadomości
Szyfrator plikówSecInfoWay
5.7 Bezpieczeństwo poczty elektronicznej
5.8 Podpisywanie wiadomości
INTERNET
SecMail SecKeyRing
Serwerkluczy
Kluczpubliczny
Kluczprywatny
Certyfikaty
SzyfrowanieRSA
Kluczprywatnynadawcy
Skrót SHA
Podpis cyfrowy
Dokument
5.9 Sprawdzanie podpisu
5.10 Szyfrowanie wiadomości
Skrót SHA
Podpis cyfrowy
Skrót otrzymany Skrót obliczony
Wiadomość
RSAdeszyfrowanie
?
=
Kluczpublicznynadawcy
Dokument
Kompresja
Losowykluczsesji
Szyfrowaniedanych
Kluczpublicznyodbiorcy
Zaszyfrowane daneoraz
klucz sesji
SzyfrowanieRSA
5.11 Odszyfrowanie wiadomości
5.12 System zaporowy
RSAdeszyfrowanie
Odszyfrowanie danych
Zaszyfrowane daneoraz klucz sesji
Kluczprywatnyodbiorcy
Dokument Dekompresja
Zaszyfrowany klucz sesji
Klucz sesji
Zaszyfrowane dane
NadawcaOdbiorca
INTRANET
Systempocztowy System
zaporowy
Serweranalizującyzawartość
Przesyłkaod nadawcy
Przesyłkaod nadawcy
INTERNET
Przekazaniedo kontroli
„Poprawiony”dokument
lub informacjao odrzuceniu
5.13 Bezpieczeństwo informacji na stronach WWW
5.14 Kryptoanaliza – klasyfikacja metod łamania szyfrów
1. Łamanie brutalne
2. Łamanie z szyfrogramami
3. Łamanie ze znanym tekstem jawnym
4. Łamanie z wybranym tekstem jawnym
5. Łamanie z adaptacyjnie wybranym tekstem jawnym
6. Łamanie z wybranym szyfrogramem
7. Łamanie z wybranym kluczem
Moduł
zarządzający
Moduł
zarządzający
INTERNET
Serwerz zabezpieczonymi
stronami Serweraplikacji
Użytkownicy
Administratorstron
5.15 Wdrożenie systemu zarządzania bezpieczeństwem informacji
5.16 Zarządzanie bezpieczeństwem systemów informatycznych jako proces
Inicjatywa
Planowanie
Wdrożenie
Utrzymanie
Opracowanie zrębów polityki bezpieczeństwa
Koncepcja bezpieczeństwa - dobór zabezpieczeń
Wdrożenie zabezpieczeń
Szkolenie - uświadamianie
Utrzymanie stanu bezpieczeństwa
START
Zarządzanie konfiguracją
Zarządzanie zmianami
Zarządzanie ryzykiem
Monitorowanie
Uświadamianie =Bezpieczeństwo
Analiza ryzyka
Podczas projektowania, dlanowych systemów, podczas eksploatacji,
podczas kontroli zabezpieczeń,przy planowanych zmianach
Identyfikacja nowych wymagań(procedury, funkcje, aktualizacje,
połączenia, użytkownicy)
Śledzenie zmianw konfiguracji systemu,
aby nie obniżały onebezpieczeństwa
5.17 Bezpieczeństwo systemów e-biznes
5.18 Wnioski końcowe1. Bezpieczeństwo systemów komputerowych zależy od wielu czynników.
2. Konieczne „projektowanie bezpieczeństwa” dla określonej aplikacji.
3. Rozwiązywanie mechanizmów bezpieczeństwa w oparciu o w pełni znane moduły programowe lub sprzętowe.
INTERNET
PartnerBaza
danych
SerwerWWW
Serwerbazodanowy
Serwertransakcji
System B2Bfirmy ABC
Pozostałe systemy firmy
PartnerPartner
6. Wirtualne sieci prywatne
6.1 VPN
SK - System komputerowy przedsiębiorstwa
6.2 Sieci VPN (Virtual Private Network)
a) VPN Remote-Access
b) VPN Site-to Site
a) Użytkownik z siecią lokalną
NAS - Network Access Server
WAN
SK 3
SK 2
SK 5 SK 4
Połączenia logiczne Połączenia fizyczne
SK 3
SK 2
SK 5 SK 4
SK 1 SK 1
INTERNET LANNAS
MC Użytkownik VPNEnterprise
ServiceProvider
b) Wirtualne połączenia dwóch ośrodków
6.3 Enkapsulacja
6.4 VPN cd1. Składniki VPN:
a) oprogramowanie użytkownika,
b) zapory ogniowe,
c) dedykowany serwer (NAS).
2. Bezpieczeństwo VPN:
a) zapory ogniowe,
b) szyfrowanie symetryczne,
c) szyfrowanie niesymetryczne.
INTERNETLAN LAN
Brama Brama
Stacja A Stacja B
dane
TCP
IP
IPSec
sieć ( PPP, Ethernet )
3. Tunelowanie
Cały pakiet w innym pakiecie.
Trzy protokoły:
a) protokół transportowy - Carrier Protocol (transport informacji),
b) protokół kapsułowania lub tunelowania - GRE, IPSec (owjanie oryginalnych danych),
c) protokół przenoszenia - IP, IPX, ... .
Zdalny dostęp oparty o PPP:
PPTP (Point to Point Tuneling Protocol).
4. IP Security
Dwa tryby szyfrowania tunelowy i transportowy:
a) tunelowy szyfruje nagłówek i ładunek,
b) transportowy szyfruje ładunek.
6.5 Protokół IPSec
Tryb tunelowy
Tryb transportowy
N D
N DN
IP
IPSec
IP
N Jawne dane i nagłówekD
N DN N
IP
IPSecIPZaszyfrowane dane i nagłówek
Nowy nagłówek
6.6 IPSec1. IPSec - trzy protokoły:
1.a) AH - Autentication Header,
1.b) ESP - Encapsulation Security Protocol,
1.c) ISAKMP - Internet Security Association and Key Management Protocol.
2. AH - Uwierzytelnianie, integralność (suma kontrolna) i pochodzenie danych (tajny dzielony klucz).
3. ESP - Szyfrowanie (symetryczny współdzielony klucz).
4. ISAKMP - Struktura negocjowania, generowanie kluczy i ich odświeżanie.
5. Serwer AAA
5.a) Autentication, Authorization, Accounting.
5.b) Remote Access.
6. Serwer sprawdza autentyfikacje użytkownka i jego uprawnienia.
6.7 Wnioski końcoweSieci VPN:
1. Podnoszą bezpieczeństwo informacji
2. rozproszonych systemów komputerowych
3. Stwarzają możliwości budowy
4. bardziej efektywnych aplikacji
7. Strategia gospodarki elektronicznej
7.1 Model mediów
7.2 Gospodarka elektroniczna
Czytelnik
Internauta
MODEL NADAWCA DRUK INTERNET
Witrynainternetowa
GazetaStacja
telewizyjna
RadioTelewizor
Media
Widownia
Zawartość Reklama
AdministracjaKonsument
Biznes
Biznes
Technologia WWW
Handel elektroniczny → Aukcje → Giełda internetowa
Problemy:
1. prezentacje wyrobu, usług, itp.
2. aktualizacja prezentowanych danych
3. autentyfikacja użytkownika
4. bezpieczeństwo system
7.3 Model koncepcyjny portali horyzontalnych
Portal horyzontalny
Internauta
Temat 1 Temat 2 . . . Temat n
Zawartość i reklama
7.4 Model koncepcyjny portalu wertykalnego
7.5 Przemysłowa giełda internetowa
Przypadek I
Portal wertykalny
Internauta
Specyficzny temat
Podtemat 1
Podtemat 2
. . .
Podtemat n
Zawartość i
reklama
Giełda Inicjacjaprocesu
Kupujący
Parametr czasu Ochrona informacji o dostawach i klientach Analiza sytuacji
Kupujący
Kupujący
Dostawca
Dostawca
Dostawca
Przypadek II
7.6 Architektura systemów e-business
GiełdaKupujący
Parametr czasu Ochrona informacji o dostawach i klientach Analiza sytuacji
Kupujący
Kupujący
Dostawca
Dostawca
Dostawca
Inicjacjaprocesu
Organizacja A
WebserverINTERNET
Router
Transactiondatabase
Transactionserver
Organizacja B
PC workstation
Databaseserver
Webserver
Router
Transactiondatabase
Transactionserver
PC workstation
Databaseserver
8. Identyfikacja użytkownika w sieci internet
8.1 Rozwój metod identyfikacji
1. Logowanie nazwa-hasło
2. Metoda wezwanie-odpowiedź
1. współdzielony klucz
2. Metody oparte o klucz prywatny i publiczny
3. Centrum dystrybucji klucza
4. Protokoły identyfikacyjne
1. Fiata Shanona
2. FFS
3. GQ
5. Kerberos
3. Karty plastikowe, zapis magnetyczny – trzy ścieżki (76, 37 i 105 znaków)
4. Karty elektroniczne pamięciowe 1kB – 1MB
5. Karty elektroniczne procesorowe (DES, RSA)
6. Rozwiązania specjalne (cechy biologiczne, dialog)
8.2 Podpis elektroniczny
Ustawa o podpisie elektronicznym z dnia 16 sierpnia 2002r.
„Bezpieczny podpis, to podpis, który:
• Jest przyporządkowany wyłącznie do osoby składającej ten podpis,
• Jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składajacej podpis elektroniczny bezpiecznych uządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
• Jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek póżniejsza zmiana tych danych jest rozpoznawalna.”
8.3 podpis oparty o symetryczny algorytm kryptograficzny
1. „A” szyfruje wiadomość dla „B” kluczem KA (do arbitra).
2. Arbiter deszyfruje wiadomość KA i stwierdza, że pochodzi ona od „A”.
3. Arbiter szyfruje wiadomość KB i wysyła do „B”.
4. „B” odszyfrowuje KB i porównuje z informacją od „A” zdeszyfrowaną kluczem KA.
Informacje te same, to wysyła je „A”.
8.4 Podpis oparty o niesymetryczne algorytmy kryptograficzne (RSA)
Protokół przedstawia się następująco:
• Alicja szyfruje dokument przy uzyciu własnego klucza prywatnego, tym samym go podpisuje,
• Alicja przesyła podpisany dokument Bobowi,
• W celu sprawdzenia podpisu Bob deszyfryje dokument za pomocą klucza publicznego Alicji.
Protokół ten spełnia następujące wymagania:
• Podpis jest autentyczny; kiedy odbiorca weryfikuje wiadomość za pomocą klucza publicznego nadawcy, wie, że to on ją podpisał.
• Podpis jest niepodrabialny, gdyż jedynie nadawca zna swój klucz prywatny.
• Podpis nie jest ponownie używany; podpis funkcjonuje razem z dokumentem i nie może być przeniesiony do dowolnego innego dokumentu.
• Podpisany dokument jest niezmienialny; jeśli wystąpi najmniejsza modyfikacja dokumentu, to nie może on być nadal sprawdzany przy użyciu klucza publicznego nadawcy.
• Nie można wyprzeć się podpisu. Odbiorca nie potrzebuje pomocy ze strony nadawcy, aby sprawdzić jego podpis.
ARBITER
BA
← KBKA →
← KAKA → ← KB
8.5 Funkcje podpisu cyfrowego
Podpis tradycyjny Podpis cyfrowyCechy wspólne
• przypisany jednej osobie• niemożliwy do podrobienia• uniemożliwiający wyparcie się go przez autora• łatwy do weryfikacji• łatwy do wygenerowania
Różnice
• związany nierozłącznie z dokumentem• taki sam dla wszystkich dokumentów• stawiany na ostatniej stronie dokumentu
• może być składowany i transmitowany niezależnie od dokumentu
• będący funkcją dokumentu• obejmuje cały dokument
Nadawca szyfrując wiadomość swoim kluczem prywatnym przekształca ja w sposób wskazujący,
że jest jej autorem. Odbiorca, po odszyfrowaniu kryptogramu kluczem publicznym nadawcy
otrzyma czytelną wiadomość, będzie miał gwarancję, iż wiadomość została podpisana przy użyciu
klucza prywatnego tego właśnie nadawcy.
• uwierzytelnianie
• niezaprzeczalność
• integralność
• identyfikacyjność
• poufność
8.6 Tworzenie podpisu cyfrowego
Jednokierunkowa funkcja skrótu:
• bardzo łatwo obliczyć skrót na podstwie ciągu wejściowego,
• bardzo trudno wygenerować ciąg znając funkcję skrótu,
MD-5, SHA, MD-2 128-160 bitów.
8.7 Tworzenie podpisu cyfrowego
8.8 Weryfikacja podpisu cyfrowego
Tworzenieskrótu
WiadomośćSkrót
wiadomości
Klucz prywatnyNadawcy
Szyfrowanieskrótu
PODPIS
Wiadomość i podpis cyfrowy
Przesyłanie siecią do Nadawcy
PODPIS
Skrót odebranyi odszyfrowany
Klucz publicznyNadawcy
Skrót wyliczony
Deszyfrowaniepodpisu
ODBIORCA
Tworzenieskrótu
Wiadomość
PODPIS
?
=
8.9 Dystrybucja klucza
• Znajomość klucza publicznego → pewność autorstwa
• Certyfikat to klucz publiczny podpisany przez osobę godną zaufania
8.10 Standard X509
Struktura certyfikatu:
1. organ certyfikujący
2. co zawiera certyfikat
Unieważnianie
RejestracjaGenerowanie pary kluczyTworzenie certyfikatu i dystrybucja pary kluczyRozpowszechnianie certyfikatuArchiwizacja klucza
Wyszukiwanie certyfikatówWeryfikacja certyfikatówOdtwarzanie kluczyOdnawianie kluczy
Upływanie daty ważności certyfikatuUnieważnianie certyfikatuHistoria kluczaArchiwizowanie klucza
Inicjowanie
Wydawanie
8.11 Modele zaufania
1. Model ze ścisłą hierarchią centrów certyfikacji
2. Model zaufania skoncentrowany na użytkowniku
GŁÓWNE CENTRUM CERTYFIKACJI
WARSTWYPOŚREDNICH OŚRODKÓW
CERTYFIKACYJNYCH(nie zawsze muszą
występować)
KOŃCOWI UŻYTKOWNICY(nie będącymi ośrodkami
certyfikacji)
ALICJA BOB
Przyjaciel
MatkaPrzyjaciółka
Siostra
DawidRobert
ALICJA BOB
8.12 Zasadnicze problemy bezpieczeństwa podpisu elektronicznego
Środki poprawiające bezpieczeństwo:
• Kwantowe metody dystrybucji klucza
• Rozwinięte metody autentyfikacji użytkownika
8.13. Dwukanałowa identyfikacja użytkownika
• Nazwa i hasło przekazywane poprzez Internet
• Wygenerowanie poświadczeń
• Wygenerowanie tokena i SMS (token ze stemplem czasowym)
• Pobranie tokena z serwera WWW (Internet)
• Pobranie tokena z telefonu komórkowego
• Porównanie tokenów (jeśli zgodne to dostęp do strony)
Zagrożenia przydystrybucji kluczy
Zagrożenia związanez autentyfikacją uzytkownika
Klasyczny podpiselektroniczny
InternetSerwerWWW
Bazadanych
MSMSTelefon komórkowy Modem GSM
(U)
(U)
Użytkownik wykorzystuje dwa kanały transmisji (internetowy i telefoni komórkowej).
Mankamentem tej metody jest zagrożenie przejęcia przez osobę niepowołaną telefonu
komórkowego.
Karta AXIONICS jako element autentyfikacji:
• Aktywizują kartę linie papilarne
• Nr Karty przesyłany poprzez Internet
• Serwer generuje jednorazowy klucz
• Klucz odebrany (optycznie) przez Kartę
• Użytkownik wprowadza klucz poprzez sieć Internet
9. Globalne systemy zarządzania a bezpieczeństwo informacji
9.1 Globalne komputerowe systemy zarządcze
Parametry:
• Transmisje tysiące kilometrów
AXIO NICS
µP
Skanerlinii papilarnych (x3)
Wyświetlacz
Wyświetla klucz
7 czujnikówświatła
Monitorekranowy
Internet
SerwerWWW
BazadanychKlucz
Klucz
Nr Karty
Jednorazowy klucz
gF8A3
POZIOMZARZĄDU
POZIOMREGIONU
POZIOMREGIONU
POZIOMREGIONU
POZIOM ZAKŁADU
POZIOM ZAKŁADU
POZIOM ZAKŁADU
POZIOM ZAKŁADU
POZIOM ZAKŁADU
POZIOM ZAKŁADU
• Liczba komputerów powyżej 10 000 szt.
• Protokół TCP/IP
9.2 Warunki bezpieczeństwa
• Struktura minimalnych przywilejów
• Dogłębna obrona (wiele mechanizmów)
• Wąskie przejścia (kanały kontrolowane)
• Określenie najsłabszego ogniwa
• Bezpieczeństwo w razie awarii
1. Zasada domyślnego zakazu (dopuszczone to co zdefiniowano jako pozwolono)
2. Zasada powszechnej współpracy
3. Różne poziomy bezpieczeństwa
9.3 Algorytmy szyfrujące
Algorytm szyfrowania danych Długość kluczaDES 56 bit
Potrójny DES 128 bitRijndael 256 bit
RSA 512 – 1536 bit
9.4 Rozwiązania sprzętoweZapory ogniowe
Filtrowanie:
• Adres źródłowy
• Adres docelowy
• Typ protokołu
• Port źródłowy TCP lub UDP
• Port docelowy TCP lub UDP
• Wielkość pakietu
Wprowadzenie usług pośrednich
9.5 Zasada usługi pośredniczenia
9.6 Zasada sieci peryferyjnej
9.7 Wnioski końcowe
• Złożone zasady bezpieczeństwa
• Bezpieczeństwo włączone w proces projektowania systemu
Perspektywy
• Rozwój technologii VPN
• Rozwój technologii sieci bezprzewodowych zwłaszcza 802.16