IP alapú távközlés. Virtuális magánhálózatok (VPN)

Hasonló dokumentumok

Titkosítás NetWare környezetben

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

Virtuális magánházlózatok / VPN

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság

Dr. Beinschróth József Kriptográfiai alkalmazások, rejtjelezések, digitális aláírás

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

S, mint secure. Nagy Attila Gábor Wildom Kft.

Sapientia Egyetem, Matematika-Informatika Tanszék.

Adat és Információvédelmi Mesteriskola 30 MB. Dr. Beinschróth József SAJÁTOS LOGIKAI VÉDELEM: A KRIPTOGRÁFIA ALKALMAZÁSA

Biztonság a glite-ban

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

Elektronikus hitelesítés a gyakorlatban

Kriptográfiai alapfogalmak

A nyilvános kulcsú algoritmusokról. Hálózati biztonság II. A nyilvános kulcsú algoritmusokról (folyt.) Az RSA. Más nyilvános kulcsú algoritmusok

Elektronikus rendszerek a közigazgatásban

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

Data Security: Protocols Integrity

Elektronikus levelek. Az informatikai biztonság alapjai II.

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 8. óra. Kocsis Gergely, Kelenföldi Szilárd

Dr. Bakonyi Péter c.docens

IP Telefónia és Biztonság

Hitelesítés elektronikus aláírással BME TMIT

Elektronikus aláírás. Gaidosch Tamás. Állami Számvevőszék

CAS implementálása MPEG-2 TS-alapú

Szabó Zoltán PKI termékmenedzser

Hálózati biztonság ( ) Kriptográfia ( )

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

IP biztonság 2. rész

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra

Virtuális Magánhálózatok (VPN)

Windows biztonsági problémák

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Magyar Telekom fokozott e- Szignó. nem-minősített hitelesítés szolgáltatás. Standard Üzleti Tanúsítvány. Fokozott Személyi Tanúsítvány

20 éve az informatikában

Számítógépes Hálózatok ősz Hálózati réteg IP címzés, ARP, Circuit Switching, Packet Switching

VIRTUÁLIS LAN ÉS VPN

ELEKTRONIKUS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

Testnevelési Egyetem VPN beállítása és használata

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

Az intézményi hálózathoz való hozzáférés szabályozása

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek.

8. A WAN teszthálózatának elkészítése

Vezetéknélküli technológia

ELEKTRONIKUS TANÚSÍTVÁNY HASZNÁLATA A REGIONAL BOOKING PLATFORMON

Készítette: Fuszenecker Róbert Konzulens: Dr. Tuzson Tibor, docens

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Gyakran ismétlődő kérdések az elektronikus aláírásról

VoIP biztonság. BME - TMIT Médiabiztonság feher.gabor@tmit.bme.hu

TANÚSÍTVÁNY. tanúsítja, hogy a Utimaco Safeware AG által kifejlesztett és forgalmazott

Az elektronikus aláírás és gyakorlati alkalmazása

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Távközlési informatika II.

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Magyar Gyors felhasználói útmutató A GW-7100PCI driver telepítése Windows 98, ME, 2000 és XP operációs rendszerek alatt

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

30 MB INFORMATIKAI PROJEKTELLENŐR KRIPTOGRÁFIAI ALKALMAZÁSOK, REJTJELEZÉSEK, DIGITÁLIS ALÁÍRÁS, DIGITÁLIS PÉNZ DR. BEINSCHRÓTH JÓZSEF

5.1 Környezet Hálózati topológia

ÁNYK űrlap benyújtás támogatási szolgáltatás

PKI alapok. Általános felépítés, működés. A PKI rendszer általános felépítését az alábbi ábra mutatja be:

Webalkalmazás-biztonság. Kriptográfiai alapok

Kétcsatornás autentikáció

Alkalmazás rétegbeli protokollok:

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

SZÁMÍTÁSTCHNIKA. Facskó Ferenc Számítástechnika Informatika

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONAL BOOKING PLATFORMON

Szolgáltatási szabályzat titkosító tanúsítvány szolgáltatáshoz (HSZSZ-T)

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Kriptoprotokollok. alapjai. Protokoll

A NYILVÁNOS KULCSÚ INFRASTRUKTÚRA ALAPJAI ÉS ÖSSZETEVŐI BASICS AND COMPONENTS OF PUBLIC KEY INFRASTRUCTURE SPISÁK ANDOR

IT hálózat biztonság. A WiFi hálózatok biztonsága

Mosolygó Ferenc. Értékesítési Konzultáns.

X.500-as katalógus szolgáltatások (directory service) hitelesítési szolgáltatásokhoz biztosít keretetrendszert

A nyilvános kulcsú infrastruktúra önálló kialakításának szükségessége

MOME WiFi hálózati kapcsolat beállítása február 25.

Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Elektronikus aláírás és titkosítás beállítása MS Outlook 2010 levelezőben

Új IP fejléc Eredeti IP fejléc IP Payload

Biztonságtechnika alapelemei Adatbiztonság az adatforrások védelméről gondoskodik Hálózatbiztonság az adatok kódolásáról és biztonságos továbbításáról

T.E.L.L. GPRS Távfelügyeleti Rendszer

Fábián Zoltán Hálózatok elmélet

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Diszkrét matematika I.

Fábián Zoltán Hálózatok elmélet

IT biztonság Hozzáférés-ellenőrzés és digitális aláírás I. 2014/2015 tanév

Réti Kornél, Microsec Zrt. 1

IT biztonság Hozzáférés-ellenőrzés és digitális aláírás I. 2016/2017 tanév

Átírás:

IP alapú távközlés Virtuális magánhálózatok (VPN)

Jellemzők Virtual Private Network VPN Publikus hálózatokon is használható Több telephelyes cégek hálózatai biztonságosan összeköthetők Olcsóbb megoldás, mint bérelt vonalat használni közvetlenül a telephelyek között Titkosított adatforgalom a lehallgatás ellen Biztonságos adatátvitel a mobil felhasználók és a cég hálózata között Független a kommunikáló partnerek hálózati csatlakozási típusától 2

Jellemzők VPN elemei Kommunikáló partnerek security gateway Tűzfal, router Más speciális, VPN kompatibilis eszköz Kommunikáció nyelve IPsec protokoll 3

Jellemzők Titkosítás Elemei Titkosítandó szöveg Titkosítási algoritmus + kulcs Felhasználási területei Digitális pénzügyi tranzakciók banki műveletek Mobiltelefonok Digitális aláírás Virtuális magánhálózatok 4

Titkosítás Szimmetrikus titkosítás Rejtett (titkos) kulcsú titkosítás Kritikus pont a kulcs erőssége ajánlott a jó véletlenszám-generátorok használata Szabványos algoritmusok: 3DES, IDEA, Blowfish 5

Titkosítás Szimmetrikus titkosítás Nagy mennyiségű adat titkosítására előnyös Probléma: titkos kulcs továbbítása a másik félnek Csak egy kapcsolatra (session) érvényes kulcs Kulcscsere algoritmus Diffie-Hellman módszer Aszimmetrikus titkosítás Nyilvános kulcsú titkosítás '70-es évektől kezd terjedni a használata 6

Titkosítás Aszimmetrikus titkosítás Két kulcs: nyilvános és titkos kulcs Meghatározott módon generálják Csak matematikailag kapcsolódnak egymással Egyik sem található ki a másikból 7

Titkosítás Aszimmetrikus titkosítás Erőforrás igénye magasabb a szimmetrikusénál Titkos kulcs hitelesítése és titkosítása Digitális aláírás generálása Diffie-Hellman kulcscsere módszer Diffie-Hellman kulcscsere módszer Azonos rejtett kulcsok használata továbbításuk nélkül kulcspár generálása nyilvános kulcsok kicserélése az algoritmus segítségével azonos rejtett kulcsok előállítása a szimmetrikus titkosításhoz 8

Titkosítás Aszimmetrikus titkosítás Diffie-Hellman kulcscsere módszer 9

Titkosítás Aszimmetrikus titkosítás Diffie-Hellman kulcscsere módszer Man-in-the-middle attack (láhatatlan harmadik fél) Észrevétlenül lehallgathatja és megváltoztathatja a kommunikációban résztvevők adatcsomagjait 10

Hitelesítés és integritás Hitelesítés és integritás Kommunikációban résztvevők hitelességének és az adatok változatlanságának biztosítása digitális aláírás és tanúsítvány alkalmazása Nyilvános kilcsú titkosítással és kulcsmenedzsmenttel kiegészítve: Public Key Infrastructure (PKI) Digitális aláírás Biztosítja a küldő hitelességét és az adatok integritását Nyilvános kulcsú titkosításon n alapul 11

Hitelesítés és integritás Digitális aláírás 12

Hitelesítés és integritás Digitális aláírás Ujjlenyomat (message digest) irreverzibilis algoritmussal képezik nehéz hamisítani minden egyes üzenetből nagy valószínűséggel egyedi ujjlenyomat képezhető 13

Hitelesítés és integritás Digitális tanúsítványok Tanúsítvány hatóságok (Certificate Authorities, CA) állítják ki a nyilvános kulcsot és a személyes információkat tartalmazó tanúsítványt a privát kulccsal aláírják Tartalma: Tanúsítvány tulajdonosának neve és azonosítója CA neve, nyilvános kulcs, tanúsítvány fokozata, érvényesség ideje A kommunikáló felek bemutatják a saját tanúsítványukat egy megbízható CA aláírásával ellátva 14

Hitelesítés és integritás Digitális tanúsítványok CA nyilvános kulcsáról másolattal kell rendelkeznie a kommunikáló feleknek CA megbízhatóságának ellenőrzése CA által aláírt tanúsítványok aláírásának érvényesítése Certificate Revocation List (CRL) CA-k kötelessége kezelni Visszavont, érvénytelen tanúsítványok listája elveszett vagy ellopott privát kulcs megváltozott személyes adatok 15

IPsec protokoll Jellemzők RFC 2401 szabványban rögzítették Hitelesítési és/vagy titkosítási szolgáltatásokkal egészíti ki az IP hálózatokat Két fő prokollból épül fel: Authentication Header (AH) Encapsulating Security Payload (ESP) Security Associations (SA) kommunikáló felek közötti két egyirányú csatorna AH és ESP protokollok segítségével jönnek létre 16

IPsec protokoll Jellemzők SA data IPsec kapcsolatokhoz szükséges információk: kulcsok, algoritmusok, üzemmódok, élettartam, stb. Internet Key Exchange (IKE) fázis során rögzítődik a tartalmuk Security Association Database (SAD) SA-kat tárolja, Security Parameter Index (SPI) segítségével azonosítva Az SPI-t az AH és ESP protokollok fejrésze is tartalmazza 17

IPsec protokoll Authentication Header (AH) alapvetően a küldő fél hitelesítését és az adatok integritásának megőrzését segíti véd a replay attack típusú támadásokkal szemben titkosítási szolgáltatásokkal nem rendelkezik Az eredeti IP csomagba szúrják be, IP header módosul AH mezői tartalmazzák szállítási protokoll típusát, az SPI értékét, sorszámot a replay attack támadások kivédésére csomag hitelesítéséhez digitális aláírást az integritás ellenőrzéséhez rejtett kulccsal titkosított aláírást (adatrész, AH mezők és néhány IP fejrész mező) 18

IPsec protokoll Encapsulating Security Payload (ESP) alapvetően titkosítási és adatintegritási valamint hitelesítési szolgáltatásokat nyújt véd a replay attack támadások ellen is Az IP csomagba ESP fejrészt szúrnak be, mely két mezőből áll: SPI és sorszám mező Az eredeti IP csomagot titkosítja Kitöltő adatok a csomag adatrészét követően Titkosítatlan ESP hitelesítő információ a kitöltő adatrészt követően IP adatmezőből és az eredeti IP és ESP fejrészből áll 19

IPsec protokoll Tunnel és Transport üzemmód V 20

IPsec protokoll Internet Key Exchange (IKE) IPsec IPsec -hez szükséges paraméterek, kulcscsere és módszerek rögzítése az IKE fázis során SA -kban IKE 1. fázis IKE SA létrehozása a security gateway -ek közötti további kommunikációhoz mindkét oldalon Kommunikáló felek authentikálják magukat Diffie-Hellman kulcscsere Authentikáció ellenőrzése 21

IPsec protokoll Internet Key Exchange (IKE) IKE 1. fázis V 22

IPsec protokoll Internet Key Exchange (IKE) IKE 2. fázis IPsec SA létrehozása az IKE SA-k segítségével Titkosítás és dekódoló eljárások rögzítettek Az IPsec indítványhoz szükséges titkos kulcs szintén az IKE 1. fázisban rögzítették Az IPsec élettartam rögzítése Különböző szintű IPsec SA-k Hálózatok ill alhálózatok Hosztok és protokollok Portok IKE SA-k ritkábban generálódnak újra, mint az IPsec SA-k 23

IPsec protokoll Manuális IPsec üzemmód Titkosításhoz és dekódoláshoz szükséges kulcsok manuális megadása Nincs IKE Nincs kulcscsere szabályos időközönként Nincs védelem a replay attack típusú támadások ellen 24