De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Inleiding Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.

Verwante presentaties


Presentatie over: "Inleiding Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."— Transcript van de presentatie:

1 Inleiding Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

2 Waarom? Nut van informatiebeveiliging? tegenhanger van beveiliging van materiële voorwerpen  materiële voorwerpen hebben waarde –waarde meestal vrij gemakkelijk te bepalen (uitz. affectieve waarde)  kunnen gestolen of beschadigd worden –geeft aanleiding tot materiële schade (vervanging voorwerp, onderbreking bedrijfsproces,  ) –meeste schade herstelbaar (vervanging of herstelling voorwerp) Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 2

3 Waarom? Nut van informatiebeveiliging? tegenhanger van beveiliging van materiële voorwerpen  bescherming tegen beschadiging  beveiliging tegen diefstal –sloten, brandkasten,   kosten voor beveiliging/bescherming houden rekening –met waarde van het voorwerp –met risico op diefstal/beschadiging Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 3

4 Waarom? Nut van informatiebeveiliging? waarde van informatie  niet altijd gemakkelijk te bepalen  beste schatting via geleden schade in geval van inbreuk tegen informatiebeveiliging –ook dit niet altijd eenvoudig: wat is de waarde van iemands privacy? bedreigingen tegen informatie  verlies van informatie  vervalsing van informatie  ongewenste verspreiding van informatie  ontkenning van informatie  … Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 4

5 Waarom? Nut van informatiebeveiliging? gevolgen van inbreuken  niet altijd herstelbaar –verloren informatie –ongewenste verspreiding van informatie maatregelen  informatiebeveiliging: encryptie, digitale handtekening,   hebben een kost –implementatie, verloren gebruiksgemak,   ook hier hangen genomen maatregelen af –van risico op inbreuk –van geleden schade bij inbreuk Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 5

6 Waarom? Nut van informatiebeveiliging? waarde van informatiesystemen  ook moeilijk te bepalen  doel van systemen is verlening van dienst mogelijk maken –schade wanneer dienst niet beschikbaar is of onbetrouwbaar wordt bedreigingen tegen informatiesystemen  onbeschikbaarheid/gebrekkige werking van dienst  onbevoegde toegang tot dienst  bedreiging tegen informatie over dienst  … Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 6

7 Waarom? Nut van informatiebeveiliging? maatregelen voor beveiliging van informatiesystemen  informatiebeveiliging: encryptie, virusscanners, firewalls,   hebben eveneens een kost –installatie, onderhoud, rekentijd, verloren gebruiksgemak,   ook hier hangen genomen maatregelen af –van risico op inbreuk –van geleden schade bij inbreuk Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 7

8 Waarom? Nut van informatiebeveiliging? opmerking  risico op inbreuken meestal VEEL groter bij informatiebeveiliging dan bij beveiliging van materiële waarden –aanvalsmogelijkheden veel groter wegens rekenkracht computers en bijna universele netwerkaansluitingen Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 8

9 Doelstellingen Beveiligingsfuncties of -diensten Eng.: security services systematische opdeling van te realiseren functies om de middelen (« resources ») te beschermen tegen mogelijke aanvallen (« security attacks ») implementatie van een beveiligingsbeleid (« security policy ») gerealiseerd door beveiligingstechnieken (« security mechanisms ») Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 9

10 Doelstellingen Beveiligingsfuncties of -diensten overzicht:  vertrouwelijkheid  authenticatie  toegangscontrole / autorisatie  data-integriteit  onweerlegbaarheid  bereikbaarheid / beschikbaarheid eisen die vaak ook aan niet-elektronische documenten gesteld worden Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 10

11 Middelen Beveiligingstechnieken of -mechanismen Engels: security mechanisms concrete technieken die gebruikt worden om 1 of meer beveiligingsfuncties te realiseren voorbeelden  cryptografische technieken  bescherming tegen intrusie  biometrie   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 11

12 Eenvoudig model Model voor netwerkbeveiliging Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 12 Afzender (A, Alice,  ) Ontvanger (B, Bob,  ) bericht beveiligd bericht beveiligd bericht informatiekanaal Aanvaller (C, Carol, Trudy,  ) Trusted 3rd Party geheime informatie geheime informatie beveiligingstransformatie

13 Bedreigingen Mogelijke bedreigingen/aanvallen passieve aanvallen  afluisteren (eavesdropping)  analyse van communicatieverkeer (traffic analysis) actieve aanvallen  invoegen of wijzigen van berichten (message insertion / modification)  vervalsing (impersonation / masquerade)  frauduleus hergebruik van data (replay)  Denial-of-Service (DoS) Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 13

14 Bedreigingen Mogelijke bedreigingen/aanvallen actieve aanvallen  kaping (hijacking) –overnemen van bestaande connectie, waarbij aanvaller plaats van afzender of ontvanger inneemt bedreiging afhankelijk van gewenste beveiligingsfunctie Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 14

15 Vertrouwelijkheid Vertrouwelijkheid van gegevens Engels: data confidentiality gegevens zijn alleen leesbaar voor personen die deze gegevens mogen lezen toepassingen:  communicatie van vertrouwelijke gegevens tussen kantoren van een bedrijf  wachtwoorden  opslag van gezondheidsgegevens   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 15

16 Vertrouwelijkheid Vertrouwelijkheid van gegevens equivalent in “niet-elektronische” wereld  gevoelige informatie voor staat, bedrijf,   bescherming van briefwisseling  bescherming van telefoongesprekken   oudste beveiligingsfunctie?  caesarversleuteling (Romeinse oudheid)  enigmacode (Duitsland, WO II)   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 16

17 Vertrouwelijkheid: bedreiging Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 17 Alice Bob bericht informatiekanaal Carol kan bericht lezen vertrouwelijkheid verbroken Passieve aanval door Carol: afluisteren van het informatiekanaal (“eavesdropping”)

18 Vertrouwelijkheid: oplossing Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 18 Alice Bob bericht beveiligd bericht beveiligd bericht informatiekanaal Carol geheime informatie geheime informatie beveiligingstransformatie kan bericht niet meer lezen vertrouwelijkheid OK

19 Vertrouwelijkheid Vertrouwelijkheid van communicatie Engels: traffic-flow confidentiality wie met wie communiceert, wordt niet openbaar gemaakt toepassingen:  bescherming van privacy van surfer veel moeilijker te realiseren dan vertrouwelijkheid van gegevens  zogeheten Privacy Enhancing Techniques (PET’s) Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 19

20 Vertrouwelijkheid: oplossing Opl. voor vertrouwelijkheid van gegevens Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 20 Alice Bob bericht beveiligd bericht beveiligd bericht informatiekanaal Carol geheime informatie geheime informatie beveiligingstransformatie kan bericht niet meer lezen vertrouwelijkheid van gegevens OK maar weet wel dat Alice met Bob communiceert vertrouwelijkheid van communicatie niet OK

21 Vertrouwelijkheid en privacy Privacy vaak verward met vertrouwelijkheid  niet alle vertrouwelijkheidseisen hebben te maken met privacy –bv. intellectuele eigendom in een bedrijf vereist wel vertrouwelijkheid, maar geen privacy houdt verband met persoonlijke levenssfeer  recht zelf te kiezen wat over jezelf openbaar gemaakt wordt  cultuurafhankelijk  al lang wettelijk beschermd als fundamenteel recht –basis voor geheim van briefwisseling  zoals elk recht, kent dit recht zijn beperkingen Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 21

22 Authenticatie ook wel: authentisering of authentificatie  geen van alle in Van Dale Engels: authentication verwant met identificatie verzekeren dat een communicatie authentiek is  authenticatie van entiteit / authenticatie van attributen  authenticatie van de oorsprong van gegevens Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 22

23 Authenticatie Authenticatie van entiteit entiteit (“entity”)  “iets dat wezenlijk bestaat” –kan aanbieder van een dienst zijn –kan aanvrager van een dienst zijn  bezit attributen (de eigenschappen van de entiteit) –identiteit –functie: bv. lesgever ↔ cursist –  communicerende partijen zijn wie ze beweren te zijn  vaak op basis van authenticatie van bepaalde attributen van deze entiteiten (identiteit,…) Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 23

24 Authenticatie Authenticatie van entiteit identiteit  wat een entiteit onderscheidt van elke andere entiteit –m.b.v. verzameling gegevens die toelaten precies te weten wie of wat entiteit is »bv. nummer van identiteitskaart  elke entiteit bezit een unieke identiteit identificatie  authenticatie van de identiteit van een entiteit –vaak gebruikt voor de authenticatie van een entiteit… –…maar is wel strengere eis dan gewoon authenticatie van entiteit Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 24

25 Authenticatie Authenticatie van attributen attribuut  eigenschap van een entiteit  mogelijkheden –identiteit –functie –  communicerende partijen hebben eigenschappen die ze beweren te hebben  een entiteit wordt meestal geauthentiseerd door de authenticatie van bepaalde attributen van deze entiteit Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 25

26 Authenticatie Authenticatie van oorsprong van gegevens de gegevens komen wel degelijk van de opgegeven bron belangrijk om te weten of gegevens betrouwbaar zijn  gebaseerd op betrouwbaarheid van bron  deel van data-integriteit (zie verder) verschil met authenticatie van entiteit  geen interactie mogelijk met bron van gegevens  niet alle oplossingen voor authenticatie van entiteit zullen hier werken Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 26

27 Authenticatie equivalent in “niet-elektronische” wereld  schrijver van een brief is wie hij beweert te zijn  spreker aan de telefoon is wie hij beweert te zijn  politieagent die aanbelt is effectief een politieagent  GSM-batterij komt effectief van de producent –geen namaak dus   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 27

28 Authenticatie Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 28 Alice bericht informatiekanaal Bob ik ben “Alice” bericht Carol Bob ontvangt bericht van Carol, maar denkt dat bericht van Alice komt entiteit “Alice” niet authentiek ik ben “Alice”

29 Authenticatie: oplossing Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 29 bericht informatiekanaal verificatie geheime informatie beveiligingstransformatie Bob ik ben “Bob” alleen door Alice gekend toevoegen van “handtekening” aan bericht verifieerbaar door Bob – entiteit “Alice” authentiek Carol kan deze “handtekening” niet nabootsen beveiliging bericht beveiliging Alice ik ben “Alice”

30 Toegangscontrole / autorisatie Toegangscontrole en autorisatie Engels: access control and authorisation bepaalt welke gebruiker toegang krijgt tot welke middelen (gegevens, rekencapaciteit,  ) vereist authenticatie van de entiteit die toegang vraagt tot deze middelen  systeem bepaalt dan in welke mate voor deze entiteit de middelen toegankelijk kunnen gemaakt worden  onderscheid mogelijk op basis van entiteit of attributen van deze entiteit Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 30

31 Toegangscontrole / autorisatie equivalent in “niet-elektronische” wereld  alleen mensen met een toegangskaartje mogen concert meemaken  klantenkaart nodig om in bepaalde winkels te mogen winkelen  alleen behandelende arts heeft toegang tot medische gegevens van een patiënt   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 31

32 Toegangscontrole / autorisatie Toegangscontrole en autorisatie illustr. 1: toegangscontrole in besturingssysteem  authenticatie via login en wachtwoord –bepaalt welke gebruiker achter de computer zit  toegangscontrole bepaald voor deze gebruiker (entiteit) –volledige rechten (lezen, schrijven, wissen,  ) op eigen bestanden –beperkte rechten (bv. lezen) op andere bestanden –geen toegang tot andere bestanden (bv. van andere gebruikers)  rechten verschillend van gebruiker tot gebruiker Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 32

33 Toegangscontrole / autorisatie Toegangscontrole en autorisatie illustr. 2: toegangscontrole tot medische databank  verschillende rechten voor verschillende soorten gebruikers –bv. artsen, verpleegkundige, patiënten,…  authenticatie op basis van specifieke attributen nodig  rechten afhankelijk van attributen van gebruiker  verschillend van type gebruiker tot type gebruiker Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 33

34 Data-integriteit Engels: data integrity verzekering dat ontvangen gegevens niet verschillen van de verstuurde gegevens  er is dus niet geknoeid met de gegevens onderweg  niets toegevoegd  niets verwijderd  niets gewijzigd  niets gedupliceerd strengere eis dan de authenticiteit van de oorsprong van gegevens Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 34

35 Data-integriteit equivalent in “niet-elektronische” wereld  er is geen tekst toegevoegd aan een getekend contract  de datum op een factuur is correct  er is niet “creatief” omgesprongen met de boekhouding  er is geen informatie achtergehouden  uitgebrachte stem is wel degelijk in kiesurne beland   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 35

36 Data-integriteit: bedreiging 1 Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 36 bericht informatiekanaal Bob Alice Carol Extra betaalopdracht komt toe geen data-integriteit betaal EUR 100,00 aan Dirk betaal EUR 100,00 aan Dirk betaal EUR 100,00 aan Dirk betaal EUR 100,00 aan Carol

37 Data-integriteit: bedreiging 2 Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 37 bericht informatiekanaal Bob Alice Carol Betaalopdracht werd gewijzigd geen data-integriteit betaal EUR 100,00 aan Dirk betaal EUR 100,00 aan Dirk betaal EUR 100,00 aan Carol

38 Data-integriteit: bedreiging 3 Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 38 betaal EUR 100,00 aan Dirk bericht informatiekanaal Bob Alice Carol Betaalopdracht werd meer dan een maal uitgevoerd geen data-integriteit betaal EUR 100,00 aan Dirk betaal EUR 100,00 aan Dirk betaal EUR 100,00 aan Dirk

39 Data-integriteit: oplossing Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 39 bericht beveiligd bericht beveiligd bericht informatiekanaal verificatie geheime informatie beveiligingstransformatie Carol kan geen bericht wijzigen, kan geen bericht invoegen, kan geen bericht twee maal versturen, zonder dat Bob het merkt Bob Alice betaal EUR 100,00 aan Dirk + ‘volgnummer’ betaal EUR 100,00 aan Dirk + ‘volgnummer’ beveiliging betaal EUR 100,00 aan Dirk + ‘volgnummer’ beveiliging Carol betaal EUR 100,00 aan Dirk + ‘volgnummer’ beveiliging betaal EUR 100,00 aan Dirk + ‘volgnummer’ kan alleen door Alice gegenereerd worden alleen door Alice gekend

40 Onweerlegbaarheid Onweerlegbaarheid of non-repudiatie Engels: nonrepudiation voor afzender  afzender kan niet ontkennen bericht verstuurd te hebben  belangrijk voor ontvanger voor ontvanger  ontvanger kan niet ontkennen bericht ontvangen te hebben  belangrijk voor afzender Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 40

41 Onweerlegbaarheid Onweerlegbaarheid of non-repudiatie equivalent in “niet-elektronische” wereld  kunnen bewijzen dat een bestelling wel degelijk geplaatst werd  kunnen bewijzen dat een factuur effectief betaald is   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 41

42 Beschikbaarheid Engels: availability betekenis  systeem/dienst is toegankelijk en bruikbaar voor wie over de geschikte toegangsrechten beschikt  binnen de eventuele beperkingen voorzien door het systeem –systeem ontworpen met een te beperkte capaciteit »geen aanval tegen beschikbaarheid »alleen slecht ontwerp »wel kwetsbaarder voor aanvallen Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 42

43 Beschikbaarheid equivalent in “niet-elektronische” wereld  winkel toegankelijk tijdens openingsuren –kan verhinderd worden door actievoerders  stembureaus laten alle kiezers toe hun stem uit te brengen op verkiezingsdag –kan belemmerd worden door politieke onrust –GEEN aanval: onvoldoende stembureaus zoals in Ohio (slecht ontwerp van het systeem)   Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 43

44 Beschikbaarheid: bedreiging 1 Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 44 bericht informatiekanaal Bob Carol Carol verdrinkt Bob onder een vloedgolf van berichten Dienst van Bob niet meer beschikbaar DoS: denial-of-service Alice bericht …

45 Beschikbaarheid: bedreiging 2 Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN) p. 45 bericht informatiekanaal Bob Carol 1 Bob verdrinkt onder een vloedgolf van berichten van verschillende afzenders Dienst van Bob niet meer beschikbaar DDoS: distributed denial-of-service Alice bericht … Carol 2 Carol 23 Carol 158 Carol 9324 Carol 735


Download ppt "Inleiding Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."

Verwante presentaties


Ads door Google