Bezpečnost: Autentizace uživatelů v počítačových systémech. Protokol IPsec a jeho vlastnosti. Zabezpečení bezdrátových sítí, protokoly WEP, WPA, 802.1x. Bezpečnost v prostředí Internetu.

Autentizace uživatele je ověření identity uživatele, například jménem a heslem, tokenem (certifikátem, hw), biometrikou nebo kombinací.

Internet Protocol Security (IPsec) je sada protokolů pro zabezpečení komunikace pomocí IP protokolu pomocí autentizace a šifrování každého packetu sezení.

IPsec zajišťuje zabezpečení mezi koncovými uzly (end-to-end), je ho možné použít na ochranu komunikace host-to-host, network-to-network nebo network-to-host.

Protokoly IPsec:

• Authentication Header (AH) - zajišťuje integritu a autentizaci zdroje paketu. Může chránit proti replay útokům. V podstatě digitální podpis dat.
• Encapsulating Security Payload (ESP) - zajišťuje důvěrnost, integritu a autenticitu paketů. Slouží na šifrování dat. V transport módě jsou zašifrována pouze data packetu, v tunnel módě je šifrován celý packet.

IPsec je součástí IPv6. IPsec ale není všelék, existuje množství útoků, kde IPsec nepomůže (nebo pomůže útočníkovi obejít firewall skrytím obsahu).

WEP je zastaralý způsob zabezpečení bezdrátových sítí. Používá proudovou šifru RC4 pro zajištění důvěrnosti a CRC-32 kontrolní součet pro zajištění integrity.

Standardní 64-bitový WEP používá 40-bitový klíč (WEP-40), který je spojen s 24-bitovým inicializačním vektorem a tvoří tak RC4 klíč. Klíč byl obvykle zadáván jako 10 hexadecimálních číslic (alternativně 5 ASCII znaků).

Variantou je 128-bitový WEP (26 hexadecimálních číslic, 13 ASCII znaků) a 256-bitový WEP (58 hexadecimálních znaků).

WEP je nedostatečné zabezpečení, dá se prolomit nástroji jako aircrack-ng.

WPA a WPA2 jsou bezpečnostní protokoly, které byly navrženy pro nahrazení zastaraleného WEPu.

WPA používá 128-bitový klíč pro každý nový packet a Micheal pro kontrolu integrity packetů. WPA má bezpečnostní nedostatky plynoucí z vlastností Michael umožňující re-injekci packetů a spoofing.

WPA2 nahradilo WPA. WPA2 přineslo CCMP, což je šifrování založeno na AES.

Pre-shared key mód (PSK, Personal mode) je určen pro domácí použití a nevyžaduje 802.1X autentizační server. Zařízení šifruje přenos pomocí 256-bitového klíče (64 hexadecimálních číslic nebo 8 až 63 tisknutelných ASCII znaků).

Pokud je WPA (WPA2) implementováno s vlastností Wi-Fi Protected Setup, je možné zabezpečení prolomit nástrojem Reaver během 4 až 10 hodin, často i v polovičním čase.

802.1X poskytuje autentizační mechanizmy pro zařízení v LAN nebo WLAN sítích. Protokol je zabalením protokolu Extensible Authentication Protocol (EAP).

Na internetové protokoly nebo infrastruktu existují mnohé druhy útoků, které ohrozují buďto samotnou infrastrukturu (DDoS), nebo uživatele (DHCP spoofing).

V zásadě existují dva typy útoků:

• pasivní útoky - často prakticky neodhalitelné, prevence možná, například odposlech.
• aktivní útoky - snadno odhalitelné, prevence obtížná, například DoS.

Některé problémy (odposlech) je možné řešit dostatečným zabezpečením (šifrování, silná hesla, firewall) a použitím zabezpečených protokolů (IPsec, SSH), proti jiným prakticky neexistuje obrana (DDoS).

FI:PA159 Počítačové sítě a jejich aplikace I (podzim 2010), doc. RNDr. Eva Hladká, Ph.D.

FI:PV210 Bezpečnostní analýza síťového provozu (podzim 2011), RNDr. Jan Vykopal

Wikipedia

DevelX - Martin Jurča

stav - 80 %