Bezpieczeństwo w sieci
Marek Bazan 16/12/2019
Bezpieczeństwo w sieci - plan wykładu
• E-mail – protokoły
• E-learning, customizacja
• E-praca, bezpieczny VPN
• E-banking, bezpieczeństwo transakcji
• E-handel, SEO
• Integracja usług - Office 365, mail, kalendarz, sharepoint
• Podstawowe metody szyfrowania
• Dokumenty elektroniczne, podpis cyfrowy,
– Jak działa emial?
Użytkownik emaila ma swoje konto e-mail na jakimś serwerze emialowym, który działa bez przerwy.
Z kontem złączony jest jeden lub więcej adresów e- mail.
Adres jest postaci alias@domena
Aby odebrać pocztę użytkownik musi sprawdzić co jest na jego koncie e-mail.
E-mail (2)
– Jak działa emial?
Aby odebrać pocztę użytkownik musi sprawdzić co jest na jego koncie e-mail.
Może to zrobić w dwojaki sposób:
• Pobrać pocztę na swój komputer,
• Przeglądać bezpośrednio swoje konto.
Pierwszy sposób polega na użyciu klienckiego programu pocztowego (Microsoft Outlook, Outlook Express, Mozilla Thunderbird)
Drugi sposób polega na wejściu na konto e-mail przez interface webowy dostarczany przez operatora.
E-mail (3)
– Jak działa emial?
Pierwszy sposób (pobrać pocztę na swój komputer) wymaga konfiguracji protokołów
• SMTP (Simple Mail Transfer Protocol) – protokół dla poczty
wychodzącej (problemy z kolejkowaniem poczty przychodzącej, dlatego używany tylko do wysyłki)
• POP3 (Post Office Protokol 3) – protokól poczty przychodzącej – usuwa pocztę z serwera
• IMAP (Internet Message Access Protocol) – protokół poczty przychodzącej – nie usuwa poczty z serwera, wstępnie ściąga tylko nagłowki maili
Drugi sposób nie wymaga konfiguracji.
E-learning
• Serwis politechniczny
https://eportal.pwr.edu.pl/course/view.php?id=159#section-3
• Nauka języków programowania
https://
campus.datacamp.com/courses/intro-to-python-for-data-science/chapter-1-python-basics?ex=1
• Nauka języków obcych
https://elingwista.com/
• Filmy
https://bazan.com.pl/filmy/wmbazan_wprowadzanie.html
• Biblioteka pwr
http://biblioteka.pwr.edu.pl/e-zasoby/zdalny-dostep-proxy
E-praca
• Skype
• Telekonferencje
• VPN
• Zdalny desktop
• Team Viewer
• Politechniczny servis e-science
E-bankowość – bezpieczeństwo transakcji
• SSL
• Proste uwierzytelnianie
• Silne uwierzytelnianie
– SMS – tokeny
E-handel (e-commerce)
Def.: E-handel - procedury wykorzystujące środki i urządzenia elektroniczne w celu zawarcia
transakcji handlowej. Najbardziej popularną metodą handlu elektronicznego jest handel internetowy, gdzie występują transakcje
handlowe pomiędzy sprzedającymi a kupującymi – najlepszym przykładem zaś są sklepy
internetowe.
E-handel (2)
E-commerce dzielimy ze względu na przedmiot hanldu na handel
1. Dobrami fizycznymi 2. Dobrami cyfrowymi
E-commerce dzielimy ze względu na podmiot hanldu na handel
3. B2B 4. B2C 5. C2C
E-handel (3)
1. E-commerce B2B obejmuje (praca przez internet, reklamy)
• przygotowanie ofert
• przygotowanie zamówień
• potwierdzania zamówień
• płatności
• realizację transakcji
• szukanie nowych ofert
• wystawianie dokumentów związanych z realizacją transakcji
• marketing
E-handel (4)
2. E-commerce B2C obejmuje (sprzedaż przez internet produków i usług przez firmy klientom indywidualnym)
• przygotowanie ofert,
• przygotowanie zamówień,
• potwierdzanie zamówień,
• Płatności,
• realizację transakcji,
• wystawianie dokumentów związanych z realizacją transakcji,
• marketing.
E-handel (5)
3. E-commerce C2C obejmuje wszelkie działalności handlowe w obrębie osób prywatnych – aukcje internetowe
E-handel (7)
Zalety
- Niski koszt, brak konieczności utrzymywania punktów sprzedaży,
- Skrócenie czasu dostępu do towaru, - Efektywność – prezentacja 24h.
Wady
- Zapewnienie bezpieczeństwa danych,
- Niepewność, co do rzetelności sprzedawcy, - Brak możliwości wypróbowania towaru.
E-handel (8)
SEO – Search Engine Optimization Optymalizacja treści
1. Treść w tagu tytułowym 2. Słowa kluczowe
3. Dobór nagłówków
4. Linkowanie wewnętrzne 5. Teksty altrnatywne
6. Instalacja takich programów na stronie jak Google Analytics do analizy ruchu na stronie
Pozycjonowanie
Tworzenie linków zewnętrznych
Integracja usług
Przykłady JSOS
Office 365
Rozwiąznia SSO (Single Sign On) Tivoli, SAML2
Strategie szyfrowania danych
• Podstawowe strategie szyfrowania danych
– Szyfrowanie metodami z kluczem symetrycznym (algorytmy z kluczem pojedynczym) – do
szyfrowania i deszyfrowania używa się tego samego klucza
Rozróżnia się
• algorytmy strumieniowe (szyfrowanie po jednym bicie)
• algorytmy blokowe (szyfrowanie blokami bitów) Przykłady: DES (1977), AES (1997)
DES – Data Encryption Standard
Szyfr blokowy o długości bloku 64 bity z kluczem symetrycznym o długości 56 bitów. Ten sam algorytm używa się do szyfrowania i deszyfrowania.
Od 1997 uznawany jest za słaby, kiedy został złamny algorytmem siłowym przez urządzenie za 250 tys. $ w ciągu 96h.
Istnieją klucze słabe, które nie szyfruję tekstu oraz istnieje 6 par kluczy półsłabych, które jeden szyfruje a drugim innym można odszyfrować tekst.
W roku 1999 zaprezentowano rozwiązanie łamiace DES w ciągu 24h.
AES – Advanced Encryption Standard
Szyfr blokowy o różnych długości bloku z kluczem
symetrycznym o różnych długości. Przyjęty standard to
długość bloku 128 bitów oraz długość klucza 128,196 lub 256 bitów.
Ataki typu siłowego na AES (https://www.eetimes.com/document.asp?doc_id=1279619)
Strategie szyfrowania danych (2)
• Podstawowe strategie szyfrowania danych
– Szyfrowanie metodami asymetrycznymi
(algorytmy z kluczem publicznym i prywatnym) – Komunikacja w jedną stronę wymaga 2 kluczy
https://pl.wikipedia.org/wiki/Kryptografia_klucza_publicznego
Strategie szyfrowania danych (3)
– Najpopularniejszym algorytmem asymetrycznym
Algorytm RSA. Generowanie kluczby polega na zbudowaniu liczby złożonej z dwóch dużych liczb pierwszych (np. 1024-bitowych) i podzieleniu modulo przez liczbę 2048-bitową).
Bezpieczeństwo algorytmu polega na tym, że trudno rozłożyć liczbę złożoną na dwie duże liczby pierwsze podobnej wielkości,
Pierwsze ataki na RSA powidły się około 2010. Algorytm został uodporniony na ataki. Rozłożono wówczas na czynniki klucz 768-bitowy.
Alorytmy asymetryczne są znacznie wolniejsze od symetrycznych dlatego służą tylko do szyfrowania kluczy dla algorytmów symetrycznych oraz do
uwierzytelniania.
Podpis elektroniczny
Dziękuję za uwagę …