Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

AAA 03.03.. AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.

Hasonló előadás


Az előadások a következő témára: "AAA 03.03.. AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit."— Előadás másolata:

1 AAA

2 AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit

3 Authentication Hitelesítés Valóban az-e a másik akinek mondja magát?  Felhasználók – emberek összerendelése Bizonyos megkülönbözetetõ karakterisztikák  Mit tudsz?  Mi van a birtokodban?  Ki vagy? Táválról is használható legyen!

4 Authentikációs megoldások, problémák Authentikációs adatbázisok  Microsoft AD, RADIUS ( Remote Authentication Dial In User Service ), TACACS Single Sign-On  Egyszer kell csak bejelentkezni a rendszerbe  Pl: Windows 2000 domain, Kerberos Lehetséges támdadások:  Lehalgatása (Man-In-The-Middle attack)  replay attack Identity theft  Pl: authentikált információ session-jének „elrablása”

5 Authentikációs módszerek Hagyományos jelszavak  Titkosított tárolás, cipherek, salt Call-back authentication (vissza-hívás)  CallerID, MAC cím, IP cím Aktív/Passzív tokenek  Chellenge/Response rendszerek  Time-based  S/Key, CryptoCard RB1 Digitális aláírás 2-factor authentication

6 Biometria problémái False rejection – false acceptance Sajnos az emberi test változik... Fizikai adotságok mérése  Ujjlenyomat, kéz-geometria, retina, írisz  arc, vér -, dns minta ellenõrzés Viselkedési minták  Mozgás, hang, aláírás Billentyűlenyomás dinamikája

7 Authorizáció Adott felhasználó mihez férhet hozzá?  Authentikációra épül  Szubjektum -> Objektum DAC (discretionary access control)  Felhasználó maga kontrolálhatja a szabályokat MAC (mandatory access control)  Kötelezõ hozzáférés-vezérlési szabályok

8 MAC Formális szabály-rendszerek  Bell-LaPadula model Confidentiality levels:  Top Secret", "Secret", "Confidential", "Sensitive but Unclassified", "Unclassified" No read-up, no write-down  Biba Inegrity model  Clark-Wilson model

9 Szabályok reprezentálása Unix model  Rwx-rwx-rwx Acces Control List  Szubjektumok tevékenységi köre egy objektumon  Pl: „Pista olvashatja a titkos.doc filet” Problémák:  Hogyan lehet azonosítani egy hozzáférést? Pl: egy web oldal letöltése vajon olvasás-e?  Covert channels Role Based Access Control Feladatkörökhöz rendelt jogosultságok Capabilty based security

10 Accounting/Audit Rendszer eseményeinek rögzítése, naplózása Ha történt valami jó lehet vissza-nézni Incident Response, IT Forensics Mit is kell rögzíteni?  Mindent! :)  Fontos, hogy a sikertelen kisérleteket is rögzíteni kell! Lehetséges támadási felület?

11 Szorgalmi feladat Találj ki egy egyszerû authentikációs methodust – ami nem igényel semmijen speciális külsõ eszközt.  Távoli authentikáció  Lehallgatás  MITM attack  Brute-force


Letölteni ppt "AAA 03.03.. AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit."

Hasonló előadás


Google Hirdetések