De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Toegangscontrole Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.

Verwante presentaties


Presentatie over: "Toegangscontrole Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."— Transcript van de presentatie:

1 Toegangscontrole Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

2 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 2 Toegangscontrole Verschillende methodes login + wachtwoord Kerberos X.509-certificaten Bedoeling authenticatie van entiteit die toegang aanvraagt tot systeem

3 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 3 Wachtwoorden Meest gebruikte toegangscontrole toegang tot computer(systeem) toegang tot websites PIN-code voor betaalkaarten … zie ook boek H (online), p vv.

4 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 4 Wachtwoorden Voordelen eenvoud  eenvoudigere implementatie dan ingewikkelde cryptografische protocols redelijke veiligheidsgraad  met goed gekozen wachtwoorden  met veilige implementatie –opslag, communicatie,…  met doordacht gebruik

5 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 5 Wachtwoorden Nadelen ingewikkeld  1 wachtwoord onthouden is redelijk eenvoudig, maar 10-tallen wachtwoorden is een helse opdracht  af te raden voor alle toepassingen zelfde wachtwoord te gebruiken grote kwetsbaarheid  met slecht gekozen wachtwoorden  met onveilige implementatie –opslag, communicatie,…  met onzorgvuldig gebruik

6 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 6 Wachtwoorden: Unix/Linux Naast wachtwoord wordt ook “salt” gebruikt de “salt” is een vast aantal bits, waarvan de waarde bepaald is door het tijdstip waarop het wachtwoord aangemaakt werd Combinatie (“salt”, wachtwoord) geëncodeerd door eenrichtingsfunctie (“one way function”)

7 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 7 Wachtwoorden: Unix/Linux Worden opgeslagen in een wachtwoordbestand een identificatie van de gebruiker (User ID) de “salt” (niet geëncodeerd) de encodering van salt en wachtwoord

8 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 8 Wachtwoorden: Unix/Linux Principiële werking saltwachtwoord 1-wegs- functie geëncodeerd wachtwoord

9 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 9 Wachtwoorden: Unix/Linux Oorspronkelijke versie “salt” van 12 bits wachtwoord van 8 ASCII-karakters (56 bits) als eenrichtingsfunctie “crypt(3)” wordt gewijzigde versie van DES gebruikt, waarbij sleutel gegenereerd wordt uit “salt” en wachtwoord (als datablok worden 64 nulbits gebruikt) bekomen 64 bits worden omgezet tot 11 ASCII- karakters opslag hiervan in voor gewone gebruikers toegankelijk bestand “/etc/passwd”

10 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 10 Wachtwoorden: Unix/Linux Zwakheden in oorspronkelijke versie beperkte lengte van het wachtwoord  niet beter dan DES-versleuteling, zelfs bij goede keuze van een wachtwoord wachtwoordbestand gemakkelijk toegankelijk (ook voor gewone gebruikers)  te gebruiken door kraakprogramma om zwakke wachtwoorden te vinden  “salt” biedt geen verbetering voor individueel wachtwoord, want aanwezig in het bestand –vereist wel dat elk wachtwoord afzonderlijk getest wordt –geen verjaardagsaanval mogelijk op alle wachtwoorden tegelijk

11 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 11 Wachtwoorden: Linux Verbeterde versie langere “salt”: tot 96 bits langere wachtwoorden mogelijk oude eenrichtingsfunctie vervangen door hashfunctie (MD5) (herhaald toegepast)  of andere eenrichtingsfunctie (Blowfish, SHA-256, SHA-512,…) wachtwoordbestand vervangen door schaduwbestand “/etc/shadow”  alleen leesbaar voor “root”-gebruiker  niet meer toegankelijk voor buitenstaanders

12 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 12 Wachtwoorden Overblijvende problemen zelfs met goed beveiligde opslag van wachtwoorden keuze van slechte wachtwoorden  te kort  login-naam  woorden (ook in vreemde talen), namen, getallen  persoonsgebonden informatie  inversie van woorden, lichte variaties van woorden …… gecompromitteerde wachtwoorden vergeten wachtwoorden

13 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 13 Wachtwoorden Keuze van goede wachtwoorden voldoende lang meng kleine letters en hoofdletters meng letters en cijfers gebruik ook andere dan alfanumerieke karakters gebruik wachtwoorden die je kan onthouden  via mnemotechnische middelen  maar geef geen informatie prijs over deze technieken gebruik NOOIT een wachtwoord dat je ergens op een website gevonden hebt

14 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 14 Wachtwoorden Bijkomende maatregelen leg politiek van sterke wachtwoorden op  er bestaan programma’s om de sterkte van wachtwoorden te testen –zijn niet onfeilbaar maar zijn wel stap in goede richting verplicht geregelde vervanging van wachtwoorden  maar laat beveiligde opslag (bv. via PGP) eventueel toe

15 Wachtwoorden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 15

16 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 16 Kerberos Authenticatiedienst voor open gedistribueerde omgeving  gebruikers aan werkstations (PC’s) wensen toegang tot diensten op servers verdeeld over netwerk  servers wensen toegangscontrole en authenticatie van aanvragen voor diensten  werkstation is niet voldoende betrouwbaar om gebruikers te authentiseren voor diensten die via netwerk aangeboden worden zie ook boek H. 15.3, p. 476vv.

17 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 17 Kerberos Beveiliging vereist tegen vervalste identiteiten (“impersonation”)  iemand geeft zich uit voor iemand anders door zich toegang te verschaffen tot werkstation van iemand anders  iemand verandert netwerkadressen en communicatie gebeurt met ander werkstation dan oorspronkelijk voorzien terugspeelaanvallen (“replay”)  afluisteren van inlogprocedure en achteraf terugspelen om zich frauduleus toegang tot het systeem te verschaffen

18 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 18 Kerberos Gecentraliseerde authenticatieserver doelstelling:  authentiseren van gebruikers t.a.v. servers  authentiseren van servers t.a.v. gebruikers maakt uitsluitend gebruik van symmetrische encryptie ontwikkeld aan MIT

19 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 19 Kerberos Vereisten veilig: mag niet het zwakke punt van de infrastructuur zijn; afluistering zou geen nuttige informatie moeten geven betrouwbaar: diensten worden immers onbereikbaar als Kerberos uitvalt; gedistribueerde architectuur kan nuttig zijn (opvang bij uitval van deel van systeem) transparant: voor gebruiker niet voelbaar buiten ingeven van wachtwoord schaalbaar: ook werkbaar voor groot aantal gebruikers en servers

20 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 20 Kerberos Actoren gebruiker/client (C) server (V) Kerberos-systeem  authenticatieserver (AS) –met gekoppelde databank voor verificatie van de toegangsrechten van de gebruiker  “Ticket Granting Server” (TGS)

21 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 21 Kerberos: basiswerking DB AS TGS Kerberos server client 1. gebruiker meldt aan op werkstation en vraagt dienst aan 2. AS verifieert toegangsrechten gebruiker in DB, genereert TGT en sessiesleutel 3. stuurt TGT en authenticator naar TGS 4. TGS verifieert TGT en genereert ticket voor aangevraagde server 5. stuurt ticket en authenticator naar server 6. server verifieert ticket, geeft toegang tot dienst en stuurt eventueel eigen authenticator AS: authenticatieserver DB: databank TGS: ticket-granting server TGT: ticket-granting ticket eens per gebruikersessieeens per type dienst eens per dienstsessie

22 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 22 Kerberos versie 5 Authenticatiedialoog voor elke sessie van de gebruiker C → AS  Opties || ID C || Dom C || ID TGS || Tijd || N 1 –Opties: aanvraag voor opties in te ontvangen TGT –ID C : identiteit van client –Dom C : Kerberos-domein van client –ID TGS : identiteit van TGS –Tijd: aanvraag voor tijdsinstellingen in te ontvangen TGT (start, geldigheid, nieuwe geldigheidsduur) –N 1 : gelegenheidswoord (“nonce”)

23 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 23 Kerberos versie 5 Authenticatiedialoog AS → C  Dom C || ID C || TGT || E K C [K C,TGS || Tijd || N 1 || Dom TGS || ID TGS ] –TGT = E K TGS [ Vlag || K C,TGS || Dom C || ID C || AD C || Tijd ] »ticket-granting ticket: bestemd voor TGS »E K TGS […]: versleuteld met K TGS (geheime sleutel voor TGS) »Vlag: vlaggen voor functionele uitbreidingen op basis van aangevraagde Opties »K C,TGS : sessiesleutel voor communicatie C↔TGS »AD C : netwerkadres van client –E K C […]: versleuteld met K C (geheime sleutel voor client, afgeleid uit wachtwoord) –K C,TGS : sessiesleutel voor communicatie C↔TGS –Dom TGS : Kerberos-domein van TGS

24 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 24 Kerberos versie 5 TGS-dialoog (voor elke type dienst) C → TGS  Opties || ID V || Tijd || N 2 || TGT || Auth C –ID V : identiteit van server –N 2 : gelegenheidswoord (“nonce”) –Tijd: aanvraag voor tijdsinstellingen in te ontvangen SGT (start, geldigheid, nieuwe geldigheidsduur) –Auth C = E K C,TGS [ ID C || Dom C || TS 1 ] »authenticator voor client »E K C,TGS […]: versleuteld met K C,TGS (sessiesleutel) »TS 1 : tijdsstempel

25 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 25 Kerberos versie 5 TGS-dialoog TGS → C  Dom C || ID C || SGT || E K C,TGS [K C,V || Tijd || N 2 || Dom V || ID V ] –SGT = E K V [ Vlag || K C,V || Dom C || ID C || AD C || Tijd ] »service-granting ticket: bestemd voor server »E K V […]: versleuteld met K V (geheime sleutel voor server) »K C,V : sessiesleutel voor communicatie C↔V »Dom V : Kerberos-domein voor server

26 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 26 Kerberos versie 5 Client/server-dialoog voor elke sessie van een dienst C → V  Opties || SGT || Auth C –Auth C = E K C,V [ ID C || Dom C || TS 2 || SK C,V || Seq# ] »authenticator voor client »E K C,V […]: versleuteld met K C,V (sessiesleutel) »TS 2 : tijdsstempel »SK C,V : hulpsleutel specifiek voor deze applicatiesessie »Seq#: sequentiegetal voor berichten binnen sessie

27 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 27 Kerberos versie 5 Client/server-dialoog V → C  indien mutuele authenticatie vereist is  E K C,V [ TS 2 || SK C,V || Seq# ]

28 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 28 X.509-authenticatie X.509 deel van X.500 ITU-T-aanbevelingenreeks voor “directory services”  “directory” = verzameling servers die databank beheert met informatie over gebruikers raamwerk voor aanbieden van authenticatiediensten van directory t.a.v. gebruikers  als opslag voor certificaten van publieke sleutels  definieert authenticatieprotocols op basis van certificaten

29 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 29 X.509-authenticatie X.509 oorsprong: 1988 intussen versie 3 in 1995 (herzien in 2000) gebruikt in S/MIME, IPSec, TLS/SSL,… steunt op:  asymmetrische cryptografie (RSA aanbevolen)  digitale handtekening (met hashfunctie) zie ook boek, H. 14.4, p. 453vv.

30 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 30 X.509-certificaat Version Certificate serial number Signature algorithm identifier Issuer name Period of validity Subject name Subject’s public-key info Issuer unique identifier Subject unique identifier Extensions Signature Algorithm Parameters Not before Not after Algorithm Parameters Algorithm Parameters Key Encrypted v.1+ v.2+ v.3 v.2+ v.3 v.1+ v.2+ v.3

31 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 31 X.509-certificaat: voorbeeld

32 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 32 X.509-certificaat: voorbeeld

33 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 33 X.509-certificaat: voorbeeld

34 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 34 X.509-certificaat: voorbeeld

35 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 35 X.509-certificaat: voorbeeld

36 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 36 X.509-certificaat: voorbeeld

37 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 37 X.509-certificaat: voorbeeld

38 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 38 X.509-certificaat: voorbeeld

39 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 39 X.509-certificaat: voorbeeld

40 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 40 X.509-certificaat Notaties CA >: certificaat van gebruiker A uitgegeven door CA CA{V,SN,AI,CA,T A,A,A p,…}: digitale handtekening door CA van velden {V,SN,AI,CA,T A,A,A p,…} Eigenschappen wie toegang heeft tot publieke sleutel van CA kan certificaat uitgegeven door CA verifiëren niemand behalve CA kan dit certificaat vervalsen  kan dus publiek opgeslagen worden

41 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 41 Kettingen van X.509-certificaten Vertrouwen van sleutels verschillende CA’s:  probleem dat A certificaat van B niet kan vertrouwen –A kent alleen CA 1  nood aan certificaat van CA 2 dat A wel zou kunnen vertrouwen A CA 1 CA 2 B CA 1 > CA 2 >

42 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 42 Kettingen van X.509-certificaten Vertrouwen van sleutels A CA 1 CA 2 CA 3 B CA 1 > CA 2 > CA 3 > CA 2 > CA 3 > CA 1 > CA 1 > CA 3 > CA 2 >CA 2 > CA 3 > CA 1 >

43 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 43 Herroepen van X.509-certificaten Soms nodig vóór afloop geldigheidsduur als vertrouwelijke sleutel gebruiker gecompromitteerd certificatie door CA gecompromitteerd gebruiker niet langer door deze CA gecertifieerd “Certificate Revocation List” (CRL) bijgehouden en regelmatig bijgewerkt door elke CA lijst van herroepen certificaten  lijst van serienummers  getekend door CA  via directory op te vragen, lokale cache mogelijk

44 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 44 Authenticatie met X.509-certificaten 3 mogelijke authenticatieprocedures in X richtingsauthenticatie authentiseert volgende elementen:  1) identiteit van A + oorsprong van gegevens (A)  2) bericht bedoeld voor B  3) data-integriteit (wijziging en replay uit te sluiten) AB 1. A{t A, r A, ID B, sgnData, E KU B [K AB ]}

45 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 45 Authenticatie met X.509-certificaten 3 mogelijke authenticatieprocedures in X richtingsauthenticatie authentiseert volgende bijkomende elementen:  4) identiteit van B + oorsprong van antwoord (B)  5) bericht bedoeld voor A  6) data-integriteit antwoord (wijziging en replay uitgesloten) AB 1. A{t A, r A, ID B, sgnData, E KU B [K AB ]} 2. B{t B, r B, ID A, r A, sgnData, E KU A [K BA ]}

46 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 46 Authenticatie met X.509-certificaten 3 mogelijke authenticatieprocedures in X richtingsauthenticatie maakt tijdsstempels overbodig  althans dit was toch de bedoeling AB 1. A{t A, r A, ID B, sgnData, E KU B [K AB ]} 2. B{t B, r B, ID A, r A, sgnData, E KU A [K BA ]} 3. A{r B }

47 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 47 Beperkingen X.509v1-certificaten Beperkingen “subject”-veld niet altijd geschikt voor bepaling identiteit gebruiker (X.500-namen vaak vrij kort) “subject”-veld ongeschikt voor toepassingen die entiteiten erkennen o.b.v. adres, URL,… nood aan informatie over beveiligingsbeleid (“security policy”), bv. voor IPSec nood aan beperking schade door kwaadaardige of onzorgvuldige CA nood aan identificatie van verschillende sleutels voor zelfde gebruiker op verschillende tijdstippen

48 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 48 Extensies in X.509v3 Flexibele extensies voor elke extensie: identificatie van extensie + indicatie of extensie kritisch is  als een implementatie een kritische extensie niet herkent, moet certificaat als ongeldig beschouwd worden 3 categorieën  informatie over sleutel en beveiligingsbeleid  attributen van gebruiker (“subject”) en uitgever (“issuer”)  beperkingen op het certificatiepad

49 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 49 Extensies in X.509v3 Enkele voorbeelden informatie over sleutel en beveiligingsbeleid  geldigheidsduur voor vertrouwelijke sleutel,  sleutelgebruik,  identificatie van sleutel van CA/gebruiker,… attributen van gebruiker en uitgever  alternatieve naam voor gebruiker (voor , IPSec,…),… beperkingen op het certificatiepad  verhinderen dat gebruiker zelf als CA kan optreden,  maximale lengte voor het certificatiepad,  beperkingen op de naamruimte voor volgende certificaten  …

50 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 50 X.509-certificaat: voorbeeld extensies

51 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 51 X.509-certificaat: voorbeeld extensies

52 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 52 X.509-certificaat: voorbeeld extensies

53 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 53 X.509-certificaat: voorbeeld extensies

54 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 54 X.509-certificaat: voorbeeld extensies

55 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 55 X.509-certificaat: voorbeeld extensies

56 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 56 X.509-certificaat: voorbeeld extensies

57 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 57 X.509-certificaat: voorbeeld extensies


Download ppt "Toegangscontrole Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."

Verwante presentaties


Ads door Google