งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

SPU Information Science Institute of Sripatum University Sripatum University 1 IS516 Computer Communication and Networks การสื่อสารคอมพิวเตอร์และเครือข่าย.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "SPU Information Science Institute of Sripatum University Sripatum University 1 IS516 Computer Communication and Networks การสื่อสารคอมพิวเตอร์และเครือข่าย."— ใบสำเนางานนำเสนอ:

1 SPU Information Science Institute of Sripatum University Sripatum University 1 IS516 Computer Communication and Networks การสื่อสารคอมพิวเตอร์และเครือข่าย Asst.Dr.Surasak Mungsing

2 Lecture 11 Network Security

3 SPU Information Science Institute of Sripatum University 3 Security Information Security protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction Computer Security a branch of computer technology known as information security as applied to computers and networks protection of information and property from theft, corruption, or natural disaster, while allowing the information and property to remain accessible and productive to its intended users Network Security provisions and policies adopted by the network administrator to prevent and monitor unauthorized access, misuse, modification, or denial of the computer network and network-accessible resourcesork Security

4 SPU Information Science Institute of Sripatum University 4 Need for Security Some people who cause security problems and why.

5 SPU Information Science Institute of Sripatum University 5 Security Threats Passive attacks (eavesdropping) Release of message contents - ลักลอบนำข้อมูลออกไป Traffic analysis – แอบวิเคราะห์สภาวะการจราจร และสังเกตุ กระบวนการรับส่งข้อมูล Difficult to detect because there is no data alteration Emphasis on prevention through encryption Active attacks - เกี่ยวข้องกับการแก้ไขเปลี่ยนแปลงสายข้อมูล สายข้อมูล Masquerade – ปลอมเป็นผู้ใช้ที่ได้รับอนุญาต Replay – ดักจับข้อมูลโดยไม่ให้รู้ตัว แล้วนำมาส่งใหม่โดยมี วัตถุประสงค์ร้าย Modification of messages - เปลี่ยนแปลงแก้ไขบางส่วนของ ข้อความโดยมีวัตถุประสงค์ร้าย Denial of Service – ป้องกันการใช้งานตามปกติหรือการทำให้ server ทำงานมากผิดปกติจนไม่สามารถให้บริการได้ตามปกติ

6 SPU Information Science Institute of Sripatum University 6 Security Requirements Confidentiality – ความลับของข้อมูล เฉพาะผู้ที่ได้รับ อนุญาตเท่านั้นจึงจะสามารถเข้าถึงข้อมูลได้เท่านั้น Integrity – ความมั่นคงของข้อมูล เฉพาะผู้ที่ได้รับ อนุญาตเท่านั้นจึงจะสามารถเปลี่ยนแปลงแก้ไขข้อมูลได้ Availability - ความพร้อมให้บริการข้อมูลเพาะกับผู้ที่ ได้รับอนุญาต Authenticity - ความสามารถในการพิสูจน์ทราบผู้ใช้

7 SPU Information Science Institute of Sripatum University 7 Cryptography The encryption model (for a symmetric-key cipher).

8 SPU Information Science Institute of Sripatum University 8 Substitution Ciphers เป็นวิธีการแทนตัวอักษรหนึ่งตัวหรือหนึ่งกลุ่มด้วยตัวอักษรอีก ตัวหนึ่งเพื่อปิดบังค่าที่แท้จริง วิธีการแบบนี้ที่เก่าแก่ที่สุด เรียกว่า Caesar cipher Caesar cipher Plaintext:a b c d e f g h i j k l m n o p q r s t u v w x y z Ciphertext:Q W E R T Y U I O P A S D F G H J K L Z X C V B N M ตัวอย่างเช่น “ attack ” จะถูกแปลงเป็น “ QZZQEA ” What is plain text for Caesar cipher text “exxegoexsrgi” ? Ciphertext: WKH TXLFN EURZQ IRA MXPSV RYHU WKH ODCB GRJ Plaintext: the quick brown fox jumps over the lazy dog

9 SPU Information Science Institute of Sripatum University 9 Transposition Ciphers A transposition cipher. เป็นแบบที่ตัวอักษรยังรักษาลำดับเดิมของ ตัวอักษรในข้อความต้นฉบับเอาไว้แต่จัดการ สับเปลี่ยนตัวอักษรเหล่านั้นเป็นตัวอื่นทั้งหมด

10 SPU Information Science Institute of Sripatum University 10 One-Time Pads เป็นการสร้าง ciphertext ที่ไม่สามารถถอดรหัส (โดยผู้ที่ไม่ได้รับอนุญาต) ได้ ขั้นตอนแรก ให้เลือก bit string แบบสุ่มเลือก จากนั้นเปลี่ยน plaintext ให้เป็น bit string แล้วทำการ exclusive OR bit string ทั้งสองเข้าด้วยกันทีละบิต

11 SPU Information Science Institute of Sripatum University 11 Quantum Cryptography เป็นการเข้ารหัสที่ใช้กับการสื่อสารสัญญาณผ่านใยแก้วนำแสงโดยใช้หลักการของ quantum mechanics ซึ่งจะมีการใช้ polarizing filter เพื่อปรับความเข้มของแสง ที่ลอดออกมา 2 ชุดสำหรับทั้งฝ่ายผู้รับและฝ่ายผู้ส่งคือ rectilinear basis และ diagonal basis

12 SPU Information Science Institute of Sripatum University 12 Symmetric Encryption The only form of encryption prior to late 1970s Five components to the algorithm Plaintext- เอกสารหรือข้อมูลต้นฉบับ Encryption algorithm - ขั้นตอนวิธีการเข้ารหัสข้อมูล Secret key - กุญแจที่ใช้ในการเข้ารหัส Ciphertext - ข้อความใหม่ที่ผ่านการเข้ารหัสแล้ว Decryption algorithm - ขั้นตอนวิธีในการถอดรหัสโดยใช้ กุญแจตัวเดิม Two requirements Strong encryption algorithm Secure exchange of keys

13 SPU Information Science Institute of Sripatum University 13 Conventional Encryption Operation

14 SPU Information Science Institute of Sripatum University 14 Symmetric Encryption Attacks Cryptanalysis เป็นความพยายามที่จะวิเคราะห์ขั้นตอนวิธีการเข้ารหัส หากมี ตัวอย่างของข้อความก่อนเข้ารหัสและหลังเข้ารหัสด้วยแล้วก็ยิ่ง มีโอกาสที่จะนำไปสู่กุญแจที่ใช้ในการเข้ารหัสได้ ถ้าประสบความสำเร็จ ข้อความที่ส่งไปแล้วและที่จะส่งใหม่ใน อนาคตซึ่งใช้กุญแจดังกล่าวเข้ารหัสจะถูกถอดรหัสได้ Brute Force เป็นการพยายามใช้กุญแจที่คิดว่าเป็นไปได้ทุกตัวในการถอดรหัส จนกว่าจะได้ข้อความที่อ่านได้อย่างมีเหตุผล โดยเฉลี่ยแล้วต้องใช้กุญแจในความพยายามถึงครึ่งของกุญแจที่ เป็นไปได้ทั้งหมดจึงจะประสบความสำเร็จ

15 SPU Information Science Institute of Sripatum University Key size(bits)Number of Alternative keys Time required at 1 encryption/µs Time required at 10 6 encryption/µs =4.3x µs=35.8 minutes =7.2x µs=1142 years10.01 hours =3.4x µs=5.4x10 24 years5.4x10 18 years =3.7x µs=5.9x10 36 years5.9x10 30 years Average time Required for Exhaustive Key Search

16 SPU Information Science Institute of Sripatum University 16 Symmetric Key Encryption Algorithm Two most important symmetric algorithms DES – Data Encryption Standard AES – Advanced Encryption Standard Most commonly used symmetric encryption algorithm are block ciphers. A block cipher processes the plaintext input in fixed-size blocks and produce a block of ciphertext of equal size for each plaintext block.

17 SPU Information Science Institute of Sripatum University 17 Data Encryption Standard (DES) เป็น encryption algorithm ที่มีความโดดเด่นหลังจากที่เริ่มใช้ งานในปี 1977 กุญแจขนาด 56-bit ทำให้ algorithm นี้ง่ายเกินไปที่จะถูก crack ได้ภายในไม่เกินปี 1998 ได้มีการยืดอายุการใช้ DES โดยใช้เทคนิค triple DES (3DES) Repeats basic DES algorithm three times, using either two or three unique keys Key size of 112 or 168 bits Drawbacks: Algorithm is sluggish in software, 64-bit block size is inefficient

18 SPU Information Science Institute of Sripatum University 18 Data Encryption Standard The data encryption standard. (a) General outline. (b) Detail of one iteration. The circled + means exclusive OR.

19 SPU Information Science Institute of Sripatum University 19 Advanced Encryption Standard 3DES is not a reasonable candidate for long-term use National Institute of Standard and Technology (NIST) proposes AES with equal or better strength than 3DES AES be symmetric cipher with a block length of 128 bits and support for key lengths of 128, 192, and 256 bits

20 SPU Information Science Institute of Sripatum University 20 Advanced Encryption Standard

21 SPU Information Science Institute of Sripatum University 21 Cryptanalysis

22 SPU Information Science Institute of Sripatum University 22 Encryption across a Packet – Switching Network

23 SPU Information Science Institute of Sripatum University 23 Location of Encryption Devices Link encryption Each vulnerable communications link is equipped on both ends with an encryption device. All traffic over all communications links is secured. Vulnerable at each switch End-to-end encryption Encryption process carried out at two end systems Encrypted data transmitted unaltered across network; destination shares key with source to decrypt data Packet headers cannot be secured

24 SPU Information Science Institute of Sripatum University 24 Symmetric Encryption Key Distribution Both parties must have the secret key Key is changed frequently Requires either manual delivery of keys, or a third-party encrypted channel Most effective method is a Key Distribution Center (e.g. Kerberos)

25 SPU Information Science Institute of Sripatum University 25 End-to-End Encryption Two types of keys Session keys – data are encrypted with one-time session key Permanent keys – used between entities for the purpose of distributing session keys Required components Key distribution center – determines which systems are allowed to communicate with each other and provides one-time session key for that connection Security service module (SSM) – performs end-to- end encryption and obtain session keys on behalf of users.

26 SPU Information Science Institute of Sripatum University 26 Automated Key Distribution

27 SPU Information Science Institute of Sripatum University 27 Traffic Padding เพื่อป้องกันการโจมตีแบบ Cryptanalysis A function that produces ciphertext output continuously, even in the absence of plaintext Continuous random data stream is generated. When plaintext is available, it is encrypted and transmitted. When input plaintext is not present, the random data are encrypted and transmitted Makes it impossible for an attacker to distinguish between true data flow and noise and therefore impossible to deduce the amount of traffic

28 SPU Information Science Institute of Sripatum University 28 Message Authentication Must verify that contents have not been altered and that source is authentic Approaches Authentication using symmetric encryption Authentication without message encryption Message authentication code One-way hash function

29 SPU Information Science Institute of Sripatum University 29 Message authentication code (MAC)

30 SPU Information Science Institute of Sripatum University 30 Message Authentication using One-Way Hash Function Only sender and receiver share the encryption key.

31 SPU Information Science Institute of Sripatum University 31 Message Authentication using One-Way Hash Function (cont.)

32 SPU Information Science Institute of Sripatum University 32 Message Authentication using One-Way Hash Function (cont.) Technique that uses a hash function but no encryption.

33 SPU Information Science Institute of Sripatum University 33 Hash Function (H) Requirements Can be applied to a block of data of any size. Produces a fixed-length output. H(x) is relatively easy to compute for any given x For any given code h, it is computationally infeasible to find x such that H(x) = h. For any given block x, it is computationally infeasible to find y ≠ x with H(y) = H(x). It is computationally infeasible to find any pair (x, y) such that H(x) = H(y).

34 SPU Information Science Institute of Sripatum University 34 Public-Key Encryption ใช้วิธีการเข้ารหัสที่ใช้คีย์ในการเข้ารหัสและถอดรหัสแตกต่างกัน และคีย์ที่ใช้ ถอดรหัสนั้นไม่สามารถสร้างขึ้นมาจากคีย์ที่ใช้เข้ารหัสได้ การเข้ารหัส (E) และการถอดรหัส (D) จะต้องอยู่ในเงื่อนไข 3 ประการ 1. D(E(P))=P 2. เป็นการยากที่จะสร้าง D ขึ้นมาจาก E 3. E จะต้องทนทานต่อวิธีการถอดรหัสแบบ chosen plaintext attack Asymmetric, involving the use of two separate keys ความเข้าใจผิดเกี่ยวกับการเข้ารหัสด้วย public key คิดว่ามีความปลอดภัยสูงจากการโจมตีแบบ cryptanalysis คิดว่าเป็นเทคนิคที่ใช้ได้เอนกประสงค์ที่ทำให้ conventional encryption ล้าสมัย คิดว่ามีความยุ่งยากน้อยกว่า conventional encryption

35 SPU Information Science Institute of Sripatum University 35 Public-Key Encryption Components Plaintext Encryption algorithm Public and private key Ciphertext Decryption algorithm

36 SPU Information Science Institute of Sripatum University 36 Public-Key Encryption Operation Encryption

37 SPU Information Science Institute of Sripatum University 37 Public-Key Signature Operation Authentication

38 SPU Information Science Institute of Sripatum University 38 Characteristics of Public-Key Computationally infeasible to determine the decryption key given knowledge of the cryptographic algorithm and the encryption key Either of the two related keys can be used for encryption, with the other used for decryption

39 SPU Information Science Institute of Sripatum University 39 Steps in Public Key Encryption Each user generates a pair of keys to be used for the encryption and decryption of messages. Each user places one of the two keys in a public register or other accessible file. This is the public key. The companion key is kept private. If Bob wishes to send a private message to Alice, Bob encrypts the message using Alice's public key. When Alice receives the message, she decrypts it using her private key. No other recipient can decrypt the message because only Alice knows Alice's private key.

40 SPU Information Science Institute of Sripatum University 40 Digital Signature Process

41 SPU Information Science Institute of Sripatum University 41 RSA Encryption Al gorithm Developed in 1977, by Ron Rivest, Adi Schamir and Len Adleman at MIT, first published in 1978 Widely accepted and implemented approach to public-key encryption For plaintext block M and ciphertext block C C = M e mod n M = C d mod n = (M e ) d mod n = M ed mod n Both sender and receiver must know values of n and e; only receiver knows value of d Public key of KU = {e, n} Private key of KR = {d, n}.

42 SPU Information Science Institute of Sripatum University 42 RSA Encryption Algorithm (cont.) วิธีการแบบ RSA นั้นนำพื้นฐานของทฤษฎีตัวเลขมาใช้ มีขั้นตอนการทำงานดังนี้ 1. เลือกตัวเลขที่เป็น prime number ขนาดใหญ่ p และ q ( โดยทั่วไปขนาด 1024 bit) 2. คำนวณ n=p x q และ z=(p-1) x (q-1) 3. เลือกตัวเลขที่เป็น prime number เรียกว่า d 4. หาค่า e ซึ่ง e x d =1 mod z

43 SPU Information Science Institute of Sripatum University 43 RSA An example of the RSA algorithm.

44 SPU Information Science Institute of Sripatum University 44 RSA Requirements It is possible to find values of e, d, n such that M ed = M mod n for all M < n. It is relatively easy to calculate M e and C d for all values of M < n. It is infeasible to determine d given e and n. This requirement can be met with large values of e and n

45 SPU Information Science Institute of Sripatum University 45 Approaches to Defeating RSA Brute force approach: try all possible private keys. The larger the number of bits in e and d, the more secure the algorithm. However, the larger the size of the key, the slower the system will run. Cryptanalysis: factoring n into its two prime factors A hard problem, but not as hard as it used to be Currently, a 1024-bit key size is considered strong enough for virtually all applications

46 SPU Information Science Institute of Sripatum University 46 Key Management Symmetric encryption requires both parties to share a secret key Secure distribution of keys is the most difficult problem for symmetric encryption Public key encryption solves this problem, but adds the issue of authenticity Public key certificates address this issue

47 SPU Information Science Institute of Sripatum University 47 Public Key Certificate Process Public-key Certificate consists of a public key plus a User ID of the key owner, with the whole block signed by the third trusted party.

48 SPU Information Science Institute of Sripatum University 48 Public Key Certificate Process 1. A public key is generated by the user and submitted to Agency X for certification. 2. X determines by some procedure, such as a face- to-face meeting, that this is authentically the user ’ s public key. 3. X appends a timestamp to the public key, generates the hash code of the result, and encrypts that result with X ’ s private key forming the signature. 4. The signature is attached to the public key.

49 SPU Information Science Institute of Sripatum University 49 Virtual Private Networks (VPNs) Internet connectivity provides easier access for telecommuters and off-site employees Use of a public network exposes corporate traffic to eavesdropping and provides an entry point for unauthorized users A variety of encryption and authentication packages and products are available to secure and authenticate remote access Need for a standard that allows a variety of platforms to interconnect securely

50 SPU Information Science Institute of Sripatum University 50 Virtual Private Networks (a) A leased-line private network. (b) A virtual private network.

51 SPU Information Science Institute of Sripatum University 51 Applications of IPSec Secures communications across a LAN, WANs, and/or the Internet Can encrypt and/or authenticate all traffic at the IP level Examples of use: Secure branch office connectivity over the Internet Secure remote access over the Internet Establishing extranet and intranet connectivity with partners Enhancing electronic commerce security

52 SPU Information Science Institute of Sripatum University 52 Benefits of IPSec When implemented in a firewall or router, provides strong security for all traffic crossing the perimeter IPSec in a firewall is resistant to bypass Runs below the transport layer (TCP, UDP) and so is transparent to applications Can be transparent to end users Can provide security for individual users if needed

53 SPU Information Science Institute of Sripatum University 53 An IP Security Scenario

54 SPU Information Science Institute of Sripatum University 54 IPSec Functions IPSec provides three main facilities authentication-only function referred to as Authentication Header (AH) combined authentication/encryption function called Encapsulating Security Payload (ESP) a key exchange function For VPNs, both authentication and encryption are generally desired

55 SPU Information Science Institute of Sripatum University 55 IPsec The IPsec authentication header in transport mode for IPv4.

56 SPU Information Science Institute of Sripatum University 56 IPsec (2) (a) ESP in transport mode. (b) ESP in tunnel mode.

57 SPU Information Science Institute of Sripatum University 57 ESP Transport and Tunneling Transport Mode provides protection primarily for upper- layer protocols. Typically used for end-to-end communication between two hosts encrypts and optionally authenticates the IP payload but not the IP header useful for relatively small networks; for a full-blown VPN, tunnel mode is far more efficient Tunnel Mode Provides protection to the entire packet Original packet is encapsulated in ESP fields, protecting contents from examination Used when one or both ends is a security gateway Multiple hosts on networks behind firewalls may engage in secure communications without implementing IPSec

58 SPU Information Science Institute of Sripatum University 58 Scope of ESP Encryption and Authentication

59 SPU Information Science Institute of Sripatum University 59 IPSec Key Management Manual System administrator manually configures each system with its own keys and with the keys of other communicating systems Practical for small, relatively static environments Automated Enables the on-demand creation of keys for SAs and facilitates the use of keys in a large distributed system Most flexible but requires more effort to configure and requires more software

60 SPU Information Science Institute of Sripatum University 60 IPSec and VPNs Organizations need to isolate their networks and at the same time send and receive traffic over the Internet Authentication and privacy mechanisms of secure IP allow for security strategy IPSec can be implemented in routers or firewalls owned and operated by the organization, allowing the network manager complete control over security aspects of the VPN

61 SPU Information Science Institute of Sripatum University 61 Firewalls A firewall consisting of two packet filters and an application gateway.

62 SPU Information Science Institute of Sripatum University 62 Security - Pretty Good Privacy(PGP ) PGP in operation for sending a message. ทำการเข้ารหัสข้อมูลโดยการใช้ block cipher เรียกว่า IDEA (International Data Encryption Algorithm) ใช้คีย์ขนาด 128 bits การบริหารคีย์ ใช้วิธี RSA และการตรวจสอบความถูกต้องของข้อมูล เป็นแบบ MD5

63 SPU Information Science Institute of Sripatum University 63 Web Security Threats - ภัยคุกคาม Secure Naming- การตั้งชื่ออย่างปลอดภัย SSL – The Secure Sockets Layer Mobile Code Security- การใช้โค้ดที่ปลอดภัยสำหรับโม บาย

64 SPU Information Science Institute of Sripatum University 64 ภัยคุกคาม Hackers- ที่มีความสามารถสูงกว่าโปรแกรมเมอร์ทั่วไป Cracker – เว็บไซต์ยอดนิยม เช่น Yahoo, CIA, NASA เคยถูกโจมตีมาแล้ว Denial of Service attack ซึ่ง Cracker จะโดมตีด้วยการส่งข่าวสารจำนวน มหาศาลมายังเว็บไซต์นั้น ทำให้ไม่สามารถบริการได้ตามปกติ ปี 1999 Cracker ชาวสวีเดนบุกเข้าเว็บไซต์ของ Microsoft Hotmail แล้วสร้าง mirror site ที่อนุญาตให้ผู้ใดก็ได้สมารถพิมพ์ชื่อผู้ใช้ hotmail แล้วอ่าน ข้อความใน ได้ Cracker ชาวรัสเซีย อายุ 19 ปีบุกเข้าเว็บไซต์ e-commerce แห่งหนึ่งและ ขโมยหมายเลขบัตรเครดิตไปกว่า 30,000 ใบแล้วเรียกร้องเงินจากเจ้าของ เว็บไซต์ $100,000 เจ้าของร้านปฏิเสธ จึงประกาศหมายเลขเครดิตการ์ดไปทั่ว อินเทอร์เน็ต ทำให้เจ้าของบัตรสูญเสียเงินไปจำนวนมาก อีกกรณีหนึ่ง หนุ่มชาวแคลิฟอเนีย อายุ 23 ปี ส่ง เป็นการแถลงข่าวกล่าว ว่า emulex Corporation กำลังจะนำรายงานการขาดทุนการประกอบการในไตร มาสที่สามเป็นเงินจำนวนมากซึ่งมีผลทำให้ประธานกรรมการบริหารต้องลาออก ในทันที ภายในไม่กี่ชั่วโมงหลังจากนั้น หุ้นของบริษัทได้ตกกว่า 60% ทำให้ผู้ ถือหุ้นต้องขาดทุนไปกว่า $2,000 ล้าน แม้กรณีนี้ไม่เกี่ยวกับการบุกรุกเข้าไปใน เว็บไซต์แต่ก่อให้เกิดความเสียหายแก่บริษัทอย่างใหญ่หลวง

65 SPU Information Science Institute of Sripatum University 65 Secure Naming (a) Normal situation. (b) An attack based on breaking into DNS and modifying Bob's record.

66 SPU Information Science Institute of Sripatum University 66 Secure DNS An example RRSet for bob.com. The KEY record is Bob's public key. The SIG record is the top-level com server's signed has of the A and KEY records to verify their authenticity.

67 SPU Information Science Institute of Sripatum University 67 SSL — The Secure Sockets Layer Layers (and protocols) for a home user browsing with SSL.

68 SPU Information Science Institute of Sripatum University 68 Java Applet Security Applets inserted into a Java Virtual Machine interpreter inside the browser.

69 SPU Information Science Institute of Sripatum University 69 Next Lecture Networks Services


ดาวน์โหลด ppt SPU Information Science Institute of Sripatum University Sripatum University 1 IS516 Computer Communication and Networks การสื่อสารคอมพิวเตอร์และเครือข่าย.

งานนำเสนอที่คล้ายกัน


Ads by Google