Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Sayfa 1 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi Güvenliği: Dünyadaki Eğilimler ULAKNET Sistem Yönetimi Konferansı-Güvenlik 3-4 Ekim 2003,

Benzer bir sunumlar


... konulu sunumlar: "Sayfa 1 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi Güvenliği: Dünyadaki Eğilimler ULAKNET Sistem Yönetimi Konferansı-Güvenlik 3-4 Ekim 2003,"— Sunum transkripti:

1 Sayfa 1 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi Güvenliği: Dünyadaki Eğilimler ULAKNET Sistem Yönetimi Konferansı-Güvenlik 3-4 Ekim 2003, Ankara Dr. M. Ufuk Çağlayan 3 Ekim 2003

2 Sayfa 2 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Genel Bakış Bilgi güvenliği nedir? Şifreleme Kimlik kanıtlama, sayısal imzalar Protokoller İşletim sistemi ve ağ güvenliği Güvenlik planı ve modelleri

3 Sayfa 3 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi güvenliği nedir? - 1 Bilgi güvenliği (information security): Tanım –Bilginin bir varlık (asset) olarak hasarlardan korunması Tanım ile ilgili konular –Korunması gerekli bilginin, olası hasarların ve bunların değerlerinin saptanması –Koruma adımlarının tanımı ve bunların maliyetinin saptanması

4 Sayfa 4 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi güvenliği nedir? - 2 Koruma adımları : –Hasarı önleme (prevention) –Hasarı saptama (detection) : Ne zaman, nasıl, kim? –Reaksiyon gösterme (hasarı giderme, bilgiyi hasardan önceki haline getirme) Risk analizi : %100 güvenlik yoktur..! –Koruma maliyeti, (hasar olasılığı) x (hasarın değeri)’nden küçük olmalı..!

5 Sayfa 5 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi güvenliği nedir? - 3 Bilgi güvenliğinin boyutları (servisler) : –Gizlilik (confidentiality), bütünlük (integrity) –Kimlik kanıtlama (authentication) –Erişilebilirlik (availability) –Sorumluluk (accountability) –Erişim denetimi (access control), inkar edememe (nonrepudiation) –Bu boyutlara güvenilirlik (reliability) ve emniyet (safety) eklenebilmekte

6 Sayfa 6 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi güvenliği nedir? - 4 Güvenliğe saldırıları (tehditler) –Pasif : Dinleme (Interception) –Aktif : Kesme (interruption), değiştirme (modification), üretme (fabrication) Güvenlik mekanizmaları –Farklı bir çok mekanizma bulunmakta –Şifreleme teknikleri ve protokoller mekanizmalarının altyapısını oluşturmakta

7 Sayfa 7 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Şifreleme Şifrebilim (cryptography) ana dalları : –Şifreleme (cryptography) –Şifre çözme (cryptanalysis) Şifreleme ana dalları : –Konvansiyonel (simetrik) şifreleme : Klasik teknikler ve modern teknikler –Açık anahtar şifreleme

8 Sayfa 8 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Modern Şifreleme Teknikleri ’den bu yana : LUCIFER, DES, IDEA, BLOWFISH, RC5, RC4, Üçlü (Triple) DES, ……. AES (Advanced Encryption Standard) –Kasım 2001’den bu yana US NIST standardı –128, 192, 256 bit blok ve anahtar –Bilinen tüm saldırılara dayanıklılık –Farklı platformlara uyarlanabilirlik, açıklık

9 Sayfa 9 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Modern Şifreleme Teknikleri - 2 Modern tekniklerin ortak özellikleri –değişken uzunlukta anahtar ve blok –değişken sayıda yer değiştirme ve permutasyonun işlemi –yer değiştirme ve permutasyonları denetleyen anahtarın veri bağımlı işlenmesi Modern tekniklerin ortak problemleri –Anahtar dağıtımı ve kimlik kanıtlama

10 Sayfa 10 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Açık Anahtar Şifreleme - 1 Özellikler ve Teknikler –Asimetrik : şifreleme ve şifre çözme için bir açık ve bir gizli anahtar çifti –Gizlilik ve kimlik kanıtlama beraberce sağlanabilir –RSA, El Gamal, Schnorr, ….. (çarpma bazlı) –“Elliptic curve” şifreleme : RSA’dan hızlı (toplama bazlı)

11 Sayfa 11 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Açık Anahtar Şifreleme - 2 Tüm algoritmalar modern konvansiyonel şifrelemeye göre çok yavaş, dolayısıyla bilginin yüksek hızlarda devamlı bir şekilde şifrelenmesi pratik değil Pratikte Kullanım –Kimlik kanıtlamada ve oturum anahtarı (session key) (süresi?) yaratmada açık anahtar şifreleme –Bilginin yüksek hızlarda devamlı bir şekilde şifrelenmesinde simetrik şifreleme (AES)

12 Sayfa 12 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Anahtar Dağıtımı Açık anahtarların dağıtımı –Rehberler, Açık Anahtar Otoriteleri (AAO) –Açık Anahtar Sertifikaları : Sertifika, bir AAO’nin gizli anahtarı ile sayısal olarak imzalanmış kullanıcı kimliği ve kullanıcı açık anahtarı. Sertifika geçerlilik süresi (X.509) Gizli anahtarların dağıtımı –Needham-Schroeder Protokolu ve ….. –Diffie-Hellman Anahtar Değişimi, 1976

13 Sayfa 13 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Sayısal İmzalar Özet Kodlar (hash, digest, MAC) : MD4, MD5, SHA-1, RIPEMD-160, HMAC, …. Sayısal İmzalar –Genellikle açık anahtar şifreleme üzerine kurulu –RSA sayısal imzaları (RSA şifreleme) –DSS (Digital Signature Standard) sayısal imzaları (NIST), DSA (El Gamal, Schnorr)

14 Sayfa 14 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Servisler ve Protokoller Kimlik Kanıtlama Servisleri/Uygulamaları –Kerberos –X.509 kimlik kanıtlama (sertifika) servisi Elektronik Posta –PGP (Pretty Good Privacy) –S/MIME Transport ve Ağ Katmanı –SSL ve Güvenli IP (IPsec)

15 Sayfa 15 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Kerberos MIT Athena projesi, Version 4, 5, RFC1504 Sadece konvansiyonel şifreleme. Needham & Schroeder kimlik kanıtlama bazlı, “replay” duyarlı, çok emniyetli. Servis biletleri, bilet süresi, Authentication Server (AS), Ticket Granting Server (TGS), Uygulamaların “kerberize” edilmesi lazım.

16 Sayfa 16 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği X.509 Sertifikaları X.509 (1988) Özellikleri : –1995’de Version 3. Sertifika formatını IP, S/MIME, SSL/TLS, SET kullanmakta. X.509 sertifika içeriği: –Sürüm No, seri No, sayısal imza tipi, sertifika otoritesi, geçerlilik tarihleri, kimlik, açık anahtar, sayısal imza (sertifika özet kodunun sertifika otoritesi gizli anahtarı ile şifresi).

17 Sayfa 17 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Elektronik Posta - PGP Pretty Good Privacy Tek bir kişinin üretimi (Phil Zimmermann) Özellikleri –Sayısal İmzalar: DSS/SHA veya RSA/SHA –Şifreleme : CAST veya IDEA veya Üçlü DES, vb tek kullanımlık oturum anahtarı –ZIP ve Radix-64 kodlama –Farklı gizlilik paylaşımı felsefesi

18 Sayfa 18 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Elektronik Posta - S/MIME Secure/Multipurpose Internet Mail Extensions –RFC822 ve MIME’ın doğal takipçisi –Zarf kavramı –MD5 ve tercihan SHA-1 –Sayısal İmzalar : DSS & RSA ( bit) –Şifreleme : Tek kullanımlık anahtar, Üçlü DES ve RC2/40 bits

19 Sayfa 19 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği SSL (Secure Socket Layer) - 1 SSLv3 Özellikleri (Netscape) –İki nokta arasındaki güvenli bilgi transferi için de facto standart, açık tasarım, yaygın kullanım. –İki katmanlı mimari : TCP üzerine Record Protocol, bunun üzerine Handshake, Change Cipher Spec ve Alert protokolleri –Internet Society IETF TLS ile aynı –Temel olarak web kullanımında (HTTPS)

20 Sayfa 20 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği SSL - 2 SSL oturum ve bağlantı (session/connection) –Handshake protokolu güvenlik parametrelerini saptar ve oturum kurar. –Oturum başına aynı güvenlik parametrelerini kullanan birden fazla bağlantı olabilir. –Amaç, her seferinde yeni güvenlik parametreleri üzerine anlaşma yapma maliyetini (toplam 13 mesaj) düşürmektir.

21 Sayfa 21 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği SSL - 3 SSL güvenlik parametreleri değişimi –Gönderici/alıcı arasında 13 mesaj olarak : –Gönderici/alıcı kimliklerinin kanıtlanması –Anahtar değişim algoritması üzerine anlaşma –Anahtar ve nonce (replay önlemek için) değişimi –Konvansiyonel şifreleme ve özet kod algoritmaları ile bunların parametreleri üzerine anlaşma

22 Sayfa 22 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Secure Electronic Transaction (SET) İkiden fazla taraf arasında güvenli bilgi (temel olarak kredi kartı alışverişleri) transferi için standart, açık tasarım. Orijinal olarak MasterCard ve VISA tarafından. Version 1, Şubat 1996 Karmaşık protokol. Tüm mesaj değişimleri şifreli, sayısal imzalı ve sertifikalı. Ismarlama (IB)/Ödeme (ÖB) Bilgisi ayırımı

23 Sayfa 23 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği IPsec - 1 Açık ağ üzerinden güvenli IP paket aktarımı İki protokol: –Kimlik Kanıtlama (AH, Authentication Header) –Şifreleme/Kimlik Kanıtlama (ESP, Encapsulating Security Payload) Hedefler: –Erişim denetimi, orijin kanıtlama, paket “replay” önleme, gizlilik (header+Data), vb

24 Sayfa 24 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği IPsec - 2 Transport ve Tünel kipleri (modes) –Transport kipi: IPv6 stili ara header eklenmesi –Tünel kipi : Tüm IP paketinin yeni bir IP paketi içine konularak gönderilmesi ve yönlendirilmesi VPN (Virtual Private Network) bağlantılarında kullanım –Temel olarak tünel kipinde

25 Sayfa 25 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği İşletim Sistemi ve Ağ Güvenliği İşletim sistemi ve ağ yazılımındaki sorunlu tasarım ve kodlamalardan kaynaklanan güvenlik problemleri –En son sürümleri kullan, güvenlik ikazlarını izle, yazılım eklerini uygula Kullanıcı hesapları ve parolalar –Kurallar, rastgele parolalar, “denial of service” Erişim haklarının kullanıcılara dağıtımı

26 Sayfa 26 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Güvenlik Planı Bilgisayar ve ağ ortamı olan her kurumun yazılı bir Güvenlik Planı olmalı..! Kapsamı –Kullanıcı ve sistem idarecilerinin güvenlik sorumlulukları ve bilgi kaynaklarının doğru kullanımının tanımları, politikalar (policies) –Güvenlik problemi olduğunda izlenecek prosedürler Başlangıç için rehber : RFC 1244

27 Sayfa 27 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Güvenlik Modelleri Aktif bir araştırma alanı Bell-LaPadula Modeli (BLP) –Subjelerin objelere erişim haklarındaki gizliliğin bir sonlu makina olarak modellenmesi Harrison-Ruzzo-Ullman Modeli –BLP + dinamik erişim hakları, subjeler ve objeler Chinese Wall Model, Biba Model, Clark- Wilson Model, vb

28 Sayfa 28 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi ve İletişim İçin Prof. Dr. M. Ufuk Çağlayan Bilgisayar Mühendisliği Bölümü Boğaziçi Üniversitesi Bebek, İstanbul Faks:(212) Tel : (212) x1698 E-posta Web:http:\\netlab.boun.edu.tr\people


"Sayfa 1 / 28 M. Ufuk Çağlayan, ULAKNET-Bilgi Güvenliği Bilgi Güvenliği: Dünyadaki Eğilimler ULAKNET Sistem Yönetimi Konferansı-Güvenlik 3-4 Ekim 2003," indir ppt

Benzer bir sunumlar


Google Reklamları