1. William Stallings Data and Computer Communications
Curs 11
Capitolul 18
Securitatea în retele de calculatoare

2. Cerinte pentru sisteme de securitate
Confidenţialitate
datele accesibile doar pentru cei autorizaţi
Integritate
NU pot fi modificate în nici un fel
Disponibilitate
Sistemele trebuie sa fie functionale si disponibile celor autorizati

3. Atac Pasiv Ascultarea transmisiei Pentru a obţine informaţii
Dezvăluirea conţinutului
Străini află conţinutul
Analiza traficului
Prin monitorizarea frecvenţei, lungimii, natura comunicaţiilor poate fi ghicită
Dificil de detectat
Poate fi prevenită

4. Atac Activ Impostura Replay Modificarea mesajului
Pretinde că e altcineva
Replay
Modificarea mesajului
Refuzul serviciului (Denial of Service)
Uşor de detectat
Detecţia poate conduce la infractor
Dificil de prevenit

5. Pericole în Securitate

6. Criptare Conventionala

7. Ingrediente Text Algoritm de criptare Cheie Secretă Text Cifrat
Algoritm de decriptare

8. Cerinte pentru securitate
Algoritm de criptare puternic
chiar dacă este cunoscut să nu permită decriptarea sau deducerea cheii
Chiar dacă sunt disponibile texte necriptate şi criptate în număr limitat
Emiţatorul şi receptorul trebuie să obţină cheia de criptare într-un mod sigur
Cheia deconspirată toată comunicaţia secretă este compromisă

9. Atac asupra criptarii Criptanaliză Forţă brută
Se bazează pe natura algoritmului şi cunoştinţe generale asupra caracteristicilor textului plan
Încercare de a deduce textul sau cheia
Forţă brută
Se încearcă toate cheile posibile până la obţinerea textului

10. Algoritmi
Cifru bloc
Procesează text plan în blocuri de dimensiune fixă şi produce text cifrat de dimensiune egală
Data encryption standard (DES)
Triple DES (TDES)

11. Data Encryption Standard (DES)
US standard
Blocuri de 64 biti de text necriptat
Cheie pe 56 biti

12. Algoritmul de criptare DES

13. DES Iteratie simpla

14. Puterea DES Declarat nesigur în 1998 Electronic Frontier Foundation
DES Cracker machine
DES acum inutil
Alternativa include TDEA (Triple Data Encryption Algorithm)

15. Triple DEA ANSI X9.17 (1985) Incorporated in DEA standard 1999
Utilizează 3 chei şi 3 execuţii ale algoritmului DEA
Lungime cheie de 168 biţi

16. Amplasarea dispozitivelor de criptare

17. Criptarea legaturii Fiecare legatura echipat la ambele capete
Tot traficul este sigur
Nivel înalt de securitate
Necesar mare de echipamente
Mesajele trebuie decriptate în fiecare comutator pentru a citi adresa
Vulnerabilitate în comutatoare
În special în reţele publice

18. Criptare capat la capat
Criptare în sistemele finale
Datele criptate trec prin reţea nealterate
Destinaţia împarte cheia cu sursa
Se poate cripta doar partea de date utilizator
Altfel comutatoarele nu pot citi antetele pachetelor
Modelul de trafic este deductibil
A se utiliza ambele metode

19. Distributia cheilor Cheia aleasă de A trimisă la B (manual)
O a treia parte selectează cheia şi o trimite la A şi B
Cheia nouă se trimite criptat cu cheia veche
Cheia nouă se trimite de o treia parte la A şi B criptată cu cheia veche

20. Distribuirea automata a cheii

21. Distribuirea automata a cheii
Cheie de sesiune
Utilizată pe durata unei conexiuni logice
Distrusă la terminarea
Criptează doar traficul utilizator
Cheie Permanentă
Utilizată pentru distribuţia cheilor de sesiune
Centru de distribuire a cheilor
Determină care sisteme pot comunica
Furnizează cheia de sesiune
Front end processor
Realizează criptarea end to end
Obţine cheile pentru host

22. Traffic Padding Produce text cifrat continuu
Dacă nu e nimic de transmis trimite date aleatoare
Face analiza traficului imposibilă

23. Autentificarea Mesajelor
Protecţie împotriva atacurilor active
Manipularea datelor
Mesajul este autentic dacă este original şi provine de la sursa reală
Autentificarea permite destinaţiei să verifice
Mesajul nu este alterat
Provine de la sursa reală
Secvenţierea mesajelor este corectă

24. Autentificare prin criptare
Doar sursa şi destinaţia cunosc cheia
Mesajul include:
cod detector de erori
număr de secvenţă
marcaj de timp

25. Autentificare fara criptare
Etichetă de autentificare ataşată la fiecare mesaj
Mesajul nu este criptat
Util pentru:
Destinaţii multiple, numai una face autentificarea

26. Message Authentication Code
Generează codul de autentificare din mesaj şi cheie comună
Cheia comună cunoscută doar de A şi B
Dacă codul de autentificare corespunde:
Mesajul nu a fost alterat
Expeditorul este autentic
Dacă este şi nr de secvenţă, acesta este corect

27. Autentificarea mesajelor folosing Message Authentication Code

28. Functie hash one way
Acceptă mesaje de lungime variabilă şi rezultă un sumar de lungime fixă
Avantaje ale autentificarii fără criptare
Criptarea este lentă
Hard pentru criptare este scump
Hard criptare optimizat pentru date multe
Algoritmii sunt acoperiţi de patente
Controlul exportului (din USA)

29. Folosirea functiei OneWay Hash

30. Functii HASH sigure Funcţia hash are urmatoarele proprietăţi:
Poate fi aplicată pentru orice lungime
Lungimea codului este fixă
Uşor de calculat
Nu poate fi inversată
Nu este fesabil de a se găsi două mesaje cu hash identic

31. SHA-1 Secure Hash Algorithm 1 Mesaj de intrare mai mic de 264 bits
Processed in 512 bit blocks
Output 160 bit digest

32. Criptare cu cheie publica
Se bazează pe algoritmi matematici
Asimetric
Sunt două chei, publică şi privată
Ingrediente
Text clar (necriptat)
Algoritm criptare
Cheie publică şi privată
Text cifrat
Algoritm de decriptare

33. Public Key Encryption (diagrama)

34. Cheie Publica - Operare
Una dintre chei este publică
cea pentru criptare
A doua cheie este privată
cu ea se face decriptarea
Nu se poate determina cheia de decriptare cunoscând cheia de criptare şi algoritmul
Din perechea de chei oricare poate fi utilizată pentru criptare şi a doua pentru decriptare

35. Metoda Utilizatorul generează cele două chei
Una din chei este făcută publică
Pentru a trimite mesaj la utilizator se criptează cu cheia publică
Utilizatorul decriptează cu cheia sa privată

36. Semnatura digitala Expeditor criptează mesajul cu cheia sa privată
Receptorul poate să decripteze cu cheia publică
Aceasta autentifică expeditorul ca fiind unicul care posedă cheia potrivită
Nu se asigură protecţia datelor
Cheia de decriptare este publică

37. Algoritm RSA

38. RSA Exemplu

39. Securitatea IPv4 si IPv6 IPSec Conectivitate securizata prin Internet
Remote access securizat prin Internet
Conectivitate intranet si extranet
Comert electroniccu securitate imbunatatita

40. IPSec Scope Authentication header (AH)
Encapsulated security payload (ESP)
Key exchange
RFC 2401,2402,2406,2408

41. Security Association (SA)
Relaţie unidirecţională între expeditor şi destinatar.
Pentru o relatie bidirecţională sunt necesare două asociaţii
Trei parametrii identifică un SA
Security parameter index SPI
IP sursă IP destinaţie
Identificatorul protocolului se securitate (AH sau ESP)

42. Parametrii SA Contor de numar de secventa
Depasirea numarului de secventa
Informatii AH
Informatii ESP
Durata de viata a asocierii
Modurile protocolului IPSec
Tunnel, transport or wildcard

43. Moduri Transport si Tunel
Modul Transport
Protecţie pentru nivele superioare, exemplu TCP
Se extinde la partea de date a pachetului IP
Capăt la capăt
Modul Tunel
Protecţie pentru pachetul IP în întregime
Pachetul vechi este încapsulat într-unul nou
Nici un ruter nu examinează pachetul interior
Poate avea adrese IP sursă şi destinaţie diferite
Poate implementat in firewall

44. Authentication Header

45. Encapsulating Security Payload
ESP
Servicii de confidentialitate

46. Pachetul ESP

47. Scopul ESP

48. Managementul Cheilor Manual Automatic ISAKMP/Oakley
Oakley key determination protocol
Internet security association and key management protocol

49. Folosirea IKE intr-un mediu cu IPSec