====== Zadání ====== Bezpečnost: Autentizace uživatelů v počítačových systémech. Protokol IPsec a jeho vlastnosti. Zabezpečení bezdrátových sítí, protokoly WEP, WPA, 802.1x. Bezpečnost v prostředí Internetu. ====== Vypracování ====== ===== Autentizace uživatelů ===== Autentizace uživatele je ověření identity uživatele, například jménem a heslem, tokenem (certifikátem, hw), biometrikou nebo kombinací. ===== IPsec ===== Internet Protocol Security (IPsec) je sada protokolů pro zabezpečení komunikace pomocí IP protokolu pomocí autentizace a šifrování každého packetu sezení. IPsec zajišťuje zabezpečení mezi koncovými uzly (end-to-end), je ho možné použít na ochranu komunikace host-to-host, network-to-network nebo network-to-host. Protokoly IPsec: * Authentication Header (AH) - zajišťuje integritu a autentizaci zdroje paketu. Může chránit proti replay útokům. V podstatě digitální podpis dat. * Encapsulating Security Payload (ESP) - zajišťuje důvěrnost, integritu a autenticitu paketů. Slouží na šifrování dat. V transport módě jsou zašifrována pouze data packetu, v tunnel módě je šifrován celý packet. IPsec je součástí IPv6. IPsec ale není všelék, existuje množství útoků, kde IPsec nepomůže (nebo pomůže útočníkovi obejít firewall skrytím obsahu). ===== Zabezpečení bezdrátových sítí ===== ==== WEP ==== WEP je zastaralý způsob zabezpečení bezdrátových sítí. Používá proudovou šifru RC4 pro zajištění důvěrnosti a CRC-32 kontrolní součet pro zajištění integrity. Standardní 64-bitový WEP používá 40-bitový klíč (WEP-40), který je spojen s 24-bitovým inicializačním vektorem a tvoří tak RC4 klíč. Klíč byl obvykle zadáván jako 10 hexadecimálních číslic (alternativně 5 ASCII znaků). Variantou je 128-bitový WEP (26 hexadecimálních číslic, 13 ASCII znaků) a 256-bitový WEP (58 hexadecimálních znaků). WEP je nedostatečné zabezpečení, dá se prolomit nástroji jako aircrack-ng. ==== WPA ==== WPA a WPA2 jsou bezpečnostní protokoly, které byly navrženy pro nahrazení zastaraleného WEPu. WPA používá 128-bitový klíč pro každý nový packet a Micheal pro kontrolu integrity packetů. WPA má bezpečnostní nedostatky plynoucí z vlastností Michael umožňující re-injekci packetů a spoofing. WPA2 nahradilo WPA. WPA2 přineslo CCMP, což je šifrování založeno na AES. Pre-shared key mód (PSK, Personal mode) je určen pro domácí použití a nevyžaduje 802.1X autentizační server. Zařízení šifruje přenos pomocí 256-bitového klíče (64 hexadecimálních číslic nebo 8 až 63 tisknutelných ASCII znaků). Pokud je WPA (WPA2) implementováno s vlastností Wi-Fi Protected Setup, je možné zabezpečení prolomit nástrojem Reaver během 4 až 10 hodin, často i v polovičním čase. ==== 802.1X ==== 802.1X poskytuje autentizační mechanizmy pro zařízení v LAN nebo WLAN sítích. Protokol je zabalením protokolu Extensible Authentication Protocol (EAP). ===== Bezpečnost v prostředí Internetu ===== Na internetové protokoly nebo infrastruktu existují mnohé druhy útoků, které ohrozují buďto samotnou infrastrukturu (DDoS), nebo uživatele (DHCP spoofing). V zásadě existují dva typy útoků: * pasivní útoky - často prakticky neodhalitelné, prevence možná, například odposlech. * aktivní útoky - snadno odhalitelné, prevence obtížná, například DoS. Některé problémy (odposlech) je možné řešit dostatečným zabezpečením (šifrování, silná hesla, firewall) a použitím zabezpečených protokolů (IPsec, SSH), proti jiným prakticky neexistuje obrana (DDoS). ====== Předměty ====== [[https://is.muni.cz/auth/predmety/predmet.pl?id=585096|FI:PA159]] Počítačové sítě a jejich aplikace I (podzim 2010), doc. RNDr. Eva Hladká, Ph.D. [[https://is.muni.cz/auth/predmety/predmet.pl?id=632614|FI:PV210]] Bezpečnostní analýza síťového provozu (podzim 2011), RNDr. Jan Vykopal ====== Použitá literatura ====== Wikipedia ====== Vypracoval ====== DevelX - Martin Jurča stav - 80 %