Uvod u informacijsku sigurnost - PowerPoint PPT Presentation

1 / 12
About This Presentation
Title:

Uvod u informacijsku sigurnost

Description:

Title: Sigurnost bezicnih racunalnih mreza Author: cagalj Last modified by: Mario Cagalj Created Date: 12/11/2006 7:02:37 PM Document presentation format – PowerPoint PPT presentation

Number of Views:59
Avg rating:3.0/5.0
Slides: 13
Provided by: cag4
Category:

less

Transcript and Presenter's Notes

Title: Uvod u informacijsku sigurnost


1
Uvod u informacijsku sigurnost
  • Mario Cagalj
  • mario.cagalj_at_fesb.hr
  • Sveucilište u SplituSveucilišni studijski centar
    za strucne studije
  • 13/3/2012.

2
Osnovni koncepti
  • Racunalna sigurnost pociva na slijedecim
    aspektima
  • Povjerljivost (Confidentiality)
  • Integritet (Integrity)
  • Dostupnost (Availability)
  • Tocna interpretacija ovih aspekata ovisi o
    kontekstu u kojem ih koristimo

3
Povjerljivost (Confidentiality)
  • Skrivanje povjerljivih informacija ili resursa
  • Povjerljivost se realizira mehanizmima kontrole
    pristupa (Access Control Mechanisms)
  • Primjer 1 Kontrola pristupa putem lozinki
  • Primjer 2 Kontrola pristupa enkripcijom (npr.,
    tajnim kljucem)
  • Q Je li možete navesti razliku izmedu dvije
    navedene kontrole pristupa?

4
Integritet (Integrity)
  • Aspekt integriteta se odnosi na vjerodostojnost
    informacija ili resursa i ukljucuje
  • Integritet podataka (data integrity)
  • Integritet izvora podataka (origin integrity,
    authentication)
  • Primjer Novine objave informaciju dobivenu od
    pouzdanog izvora iz Banskih dvora ali kao izvor
    objave izmišljeno ime. Integritet podataka
    ocuvan, ali ne i integritet izvora.
  • Mehanizmi za zaštitu integriteta
  • Prevencijski
  • Zaštita integriteta podataka na nacin da se
    blokira bilo kakav neautoriziran pokušaj promjene
    podataka
  • Detekcijski
  • Ne štite integritet, vec ukazuju na cinjenicu da
    podatak više nije vjerodostojan (da je
    promjenjen)
  • Q Je li confidentiality osigurava integrity?

5
Dostupnost (Availability)
  • Odnosi se na mogucnost korištenja željene
    informacije ili resursa
  • Aspekt dostupnosti koji je relevantan za
    sigurnost je da netko može namjerno onemogucit
    pristup informaciji ili usluzi
  • Pokušaji da se blokira (onemoguci) dostupnost se
    nazivaju Denial-of-Service (DoS) napadi
  • Kod dizajna sustava, ovaj aspekt se cesto
    zanemaruje
  • Kao rezultat sustav postaje podložan DoS napadima
  • Q Je li možete dati primjer DoS napada u
    kontekstu bežicnih pristupnih mreža?

6
Sigurnosne prijetnje (Threats)
  • Potencijalno ugrožavanje sigurnosti
  • Ne treba se uistinu realizirati u praksi
  • Akcije koje ugrožavaju sigurnost su napadi
    (attacks)
  • Prisluškivanje (snooping, wiretapping)
  • Pasivna radnja
  • Confidentiality usluge ogranicavaju prostor za
    ovu prijetnju
  • Modifikacija
  • Neautorizirane promjene podataka
  • Aktivna radnja
  • Man-In-The-Middle (MITM)

Internet
S1
S2
MITM attacker
7
Threats ARP
  • Impersonacija (masquerading, spoofing)
  • Primjer ARP (Address Resolution Protocol)
    spoofing
  • ARP mapira IP u MAC (Medium Access Control) adrese

8
Threats ARP spoofing
  • Neko drugo racunalo može odgovoriti na ARP request

Reply
08002003F642
0000C0C29B26
0034CDC29FA0
.1
.2
.3
.4
.5
140.252.13
9
Threats Examples
  • Repudiation of origin (hr. ver. Nijekanje?)
  • Nijekanje entiteta koji je poslao ili kreirao
    nešto, da je to on/ona/ono kreirao
  • Kašnjenje (Delay)
  • Primjer tipicno, isporuka poruke se dogada
    unutar vremena T napadac presretne poruku i
    isporuci je u vremenu T1 gtgt T.
  • MITM napad
  • Q Primjer iz bežicnih pristupnih mreža?
  • Denial-of-Service (DoS)
  • Onemogucavanje pristupa ili korištenja usluge ili
    resursa na duže vrijeme
  • Ovaj problem je nemoguce rješiti (pomocu
    sigurnosnih mehanizama) obicno se nastoji
    umanjiti negativne konzekvence DoS napada (npr.
    kroz redundacije)
  • Primjer MITM napad, Distributed DoS (DDoS)

10
Sigurnosna politika i mehanizmi (1/2)
  • Sigurnosna politika (security policy)
  • Izjava o tome sto je dozvoljeno a sto nije
  • Matematickim rjecnikom Sigurnosna politika je
    izjava koja dijeli stanja promatranog sustava u
    skup autoriziranih (sigurnih) stanja i skup
    neautoroziranih (nesigurnih) stanja.
  • Siguran sustav je onaj koji se inicijalno nalazi
    u autoroziranom (sigurnom) stanju i ne moze uci i
    neautorizirano stanje.
  • Q Je li slijedeci sustav siguran za As1, s2,
    NAs3, s4?
  • Sigurnosni mehanizam
  • Entitet, metoda, alat ili procedura koja
    osigurava da se sigurnosna politika (njen dio)
    provede.

t1
t4
t5
s1
s2
s3
s4
t2
t3
11
Sigurnosna politika i mehanizmi (2/2)
  • Primjer 1
  • Sveuciliste ne dozvoljava prepisivanje domacih
    radovima. Studenti su duzni pohraniti rjesenje na
    isto (zavodsko) racunalo.
  • Politika Izjava da nijedan student ne smije
    prepisati (kopirati) rjesenja drugog studenta.
  • Mehanizam 1 Kontrola pristupa datotekama na
    zavodskom racunalu svaki student zastiti svoj
    rad nekakvom sifrom.
  • Mehanizam 2 Oba studenta dobivaju negativnu
    ocjenu.
  • Primjer 2 University E-Mail Policy
  • Opisuje sto je dozvoljeno a sto ne kod pristupa i
    koristenja elektronicke poste
  • Korisnik ne smije interferirati sa ostalim
    korisnicima e-poste
  • Promisli dvaput prije slanja poste, privatna
    posta nije dozvoljena,
  • Posjetilac je takodjer vezan ovom sigurnosnom
    politikom
  • E-mail se moze prosljediti (forwarding), e-mail
    nije zasticen (ne osigurava povjerljivost ni
    integritet)
  • Sigurnosna politika se tice svih relevantnih
    sigurnosnih aspekata
  • Povjerljivosti, integriteta i dostupnosti
    (confidentiality, integrity and availability)

12
Ostali cimbenici relevantni za sigurnost
  • Povjerenje (trust) i pretpostavke (assumptions)
  • Bez povjerenja i pretpostavki nemoguce definirati
    sigurna ili autorizirana stanja sustava (prilikom
    definiranja sigurnosne politike)
  • Prepostavka Microsoft-ova implementacija datog
    enkripcijskog algoritama štiti povjerljivost
  • Povjerenje Microsoft je pouzdan (trustworthy)
  • Cost-Benefit analiza
  • Prednosti racunalne sigurnosti se uvijek
    usporeduju (važu) sa ukupnim troškovima
    sigurnosnog rješenja
  • Npr. ako je nekakav resurs jeftin, onda ga nije
    vrijedno stititi
  • Covjek
  • Social engineering (npr. Phishing napadi)
  • Redovito najslabija karika sigurnosnog sustava
  • Sustav je siguran sam onoliko koliko je siguran
    njegov najslabiji element
  • User-friendliness izuzetno važan aspekt
Write a Comment
User Comments (0)
About PowerShow.com