Zadání

Bezpečnost: Autentizace uživatelů v počítačových systémech. Protokol IPsec a jeho vlastnosti. Zabezpečení bezdrátových sítí, protokoly WEP, WPA, 802.1x. Bezpečnost v prostředí Internetu.

Vypracování

Autentizace uživatelů

Autentizace uživatele je ověření identity uživatele, například jménem a heslem, tokenem (certifikátem, hw), biometrikou nebo kombinací.

IPsec

Internet Protocol Security (IPsec) je sada protokolů pro zabezpečení komunikace pomocí IP protokolu pomocí autentizace a šifrování každého packetu sezení.

IPsec zajišťuje zabezpečení mezi koncovými uzly (end-to-end), je ho možné použít na ochranu komunikace host-to-host, network-to-network nebo network-to-host.

Protokoly IPsec:

  • Authentication Header (AH) - zajišťuje integritu a autentizaci zdroje paketu. Může chránit proti replay útokům. V podstatě digitální podpis dat.
  • Encapsulating Security Payload (ESP) - zajišťuje důvěrnost, integritu a autenticitu paketů. Slouží na šifrování dat. V transport módě jsou zašifrována pouze data packetu, v tunnel módě je šifrován celý packet.

IPsec je součástí IPv6. IPsec ale není všelék, existuje množství útoků, kde IPsec nepomůže (nebo pomůže útočníkovi obejít firewall skrytím obsahu).

Zabezpečení bezdrátových sítí

WEP

WEP je zastaralý způsob zabezpečení bezdrátových sítí. Používá proudovou šifru RC4 pro zajištění důvěrnosti a CRC-32 kontrolní součet pro zajištění integrity.

Standardní 64-bitový WEP používá 40-bitový klíč (WEP-40), který je spojen s 24-bitovým inicializačním vektorem a tvoří tak RC4 klíč. Klíč byl obvykle zadáván jako 10 hexadecimálních číslic (alternativně 5 ASCII znaků).

Variantou je 128-bitový WEP (26 hexadecimálních číslic, 13 ASCII znaků) a 256-bitový WEP (58 hexadecimálních znaků).

WEP je nedostatečné zabezpečení, dá se prolomit nástroji jako aircrack-ng.

WPA

WPA a WPA2 jsou bezpečnostní protokoly, které byly navrženy pro nahrazení zastaraleného WEPu.

WPA používá 128-bitový klíč pro každý nový packet a Micheal pro kontrolu integrity packetů. WPA má bezpečnostní nedostatky plynoucí z vlastností Michael umožňující re-injekci packetů a spoofing.

WPA2 nahradilo WPA. WPA2 přineslo CCMP, což je šifrování založeno na AES.

Pre-shared key mód (PSK, Personal mode) je určen pro domácí použití a nevyžaduje 802.1X autentizační server. Zařízení šifruje přenos pomocí 256-bitového klíče (64 hexadecimálních číslic nebo 8 až 63 tisknutelných ASCII znaků).

Pokud je WPA (WPA2) implementováno s vlastností Wi-Fi Protected Setup, je možné zabezpečení prolomit nástrojem Reaver během 4 až 10 hodin, často i v polovičním čase.

802.1X

802.1X poskytuje autentizační mechanizmy pro zařízení v LAN nebo WLAN sítích. Protokol je zabalením protokolu Extensible Authentication Protocol (EAP).

Bezpečnost v prostředí Internetu

Na internetové protokoly nebo infrastruktu existují mnohé druhy útoků, které ohrozují buďto samotnou infrastrukturu (DDoS), nebo uživatele (DHCP spoofing).

V zásadě existují dva typy útoků:

  • pasivní útoky - často prakticky neodhalitelné, prevence možná, například odposlech.
  • aktivní útoky - snadno odhalitelné, prevence obtížná, například DoS.

Některé problémy (odposlech) je možné řešit dostatečným zabezpečením (šifrování, silná hesla, firewall) a použitím zabezpečených protokolů (IPsec, SSH), proti jiným prakticky neexistuje obrana (DDoS).

Předměty

FI:PA159 Počítačové sítě a jejich aplikace I (podzim 2010), doc. RNDr. Eva Hladká, Ph.D.

FI:PV210 Bezpečnostní analýza síťového provozu (podzim 2011), RNDr. Jan Vykopal

Použitá literatura

Wikipedia

Vypracoval

DevelX - Martin Jurča

stav - 80 %

mgr-szz/in-psk/5-psk.txt · Poslední úprava: 2020/04/12 16:56 (upraveno mimo DokuWiki)
Nahoru
CC Attribution-Noncommercial-Share Alike 4.0 International
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0