Forelesning 4: Kommunikasjonssikkerhet

Like dokumenter
Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)

INF329,HØST

Nasjonal sikkerhetsmyndighet

6105 Windows Server og datanett

6105 Windows Server og datanett

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Forelesning Oppsummering

Til IT-ansvarlige på skolen

6107 Operativsystemer og nettverk

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen

IT Grunnkurs. Nettverk. Foiler av Bjørn J. Villa, Førsteamanuensis II Presentert av Rune Sætre, Førstelektor

Forelesning 2: Kryptografi

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

6105 Windows Server og datanett

Bilag 3: Beskrivelse av det som skal driftes

Veileder for bruk av tynne klienter

Brannmurer. fire wall (noun): A fireproof wall used as a barrier to prevent spread of fire.

Emnenavn: Datakommunikasjon. Eksamenstid: Kl: 9:00 til kl: 13:00. Faglærere: Erling Strand

DDS-CAD. Oppsett av student-/demolisens

TJENESTEBESKRIVELSE INTERNETT FRA BKK

6105 Windows Server og datanett

PowerOffice Server Service

Brukerdokumentasjon Promed Online Booking

Angrep. Sniffing ( eavesdropping )

Dette er en demonstrasjonsside som vi skal bruke for å se litt nærmere på HTTP protokollen. Eksemplet vil også illustrere et par ting i PHP.

Nasjonal sikkerhetsmyndighet

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Lokal Node (VPN)

Brukerveiledning Tilkobling internett

Teknisk Tips & Triks PER TORE HOFF

EKSAMENSFORSIDE Skriftlig eksamen med tilsyn

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

PRODUKTBESKRIVELSE NRDB. NRDB Nummerforespørsel

Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk.

Transportsikring av e-post rfc STARTTLS

TTM4175 Del 2: Etisk hacking. Lab E5: Nettverkssniffing

JULI 2016 FIBERBREDBÅND BRUKERVEILEDNING

Konfigurasjon av inrx og Megalink

Litt mer detaljer om: Detaljerte funksjoner i datanett. Fysisk Lag. Multipleksing

Detaljerte funksjoner i datanett

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING

Viktig informasjon til nye brukere av Mac-klient fra UiB

En liten oppskrift på hvordan jeg installert og fikk Xastir til å virke sånn at jeg ble synlig i APRS verden.

Tjenester i Internett. E-post, HTTP, FTP, Telnet

Huldt & Lillevik Ansattportal. Installere systemet

1. Sikkerhet i nettverk

6107 Operativsystemer og nettverk

Direct Access. Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH

LAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017

Informasjon Prøveeksamen IN1020 høsten 2017

Innledende Analyse Del 1: Prosjektbeskrivelse (versjon 2)

TJENESTE-BESKRIVELSE, INNSTALASJONSVEILEDNING. Vcom StatusUpdate v1.0

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT

Lagene spiller sammen

Løsningsforslag for Eksamensoppgave i TDT4190 Distribuerte systemer

Nettverkspakke. Brannmur og nettverkspakke.

Konfigurasjon av nettverksløsning for Eldata 8.0 basert på PostgreSQL databasesystem.

Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor

Forord. Brukerveiledning

6107 Operativsystemer og nettverk

Med skriverens innebygde Ethernet-funksjon kan du koble den direkte til et Ethernet-nettverk uten at du trenger en ekstern utskriftsserver.

Hvordan sende lønnsslipper per e-post til de ansatte direkte fra HogiaLønn

Brukerveiledning Tilkobling Altibox Fiberbredbånd

Kryptoløsninger I Hjemmekontor Og Mobile Klienter

Nasjonal sikkerhetsmyndighet

Atea Anywhere Meeting Room

PowerOffice Server Service

Huldt & Lillevik Ansattportal. Installere systemet

TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna

Limitations of IPsec, TLS/SSL, and SSH as VPN-solutions

Enkel guide til oppkobling

Forelesning 3: Nøkkelhåndtering og PKI

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Forelesning 2: Kryptografi

P L A N I A 8 S Y S T E M K R A V PLANIA 8 SYSTEM KRAV. Plania 8 Systemkrav.docx av 8

6105 Windows Server og datanett

En filserver på Internett tilgjengelig når som helst, hvor som helst. Enkelt, trygt og rimelig

Sikkerhet på Web. Kåre Presttun Software Innovation ASA

Internett og pc Brukerveiledning

Hvordan sende lønnsslipper pr. e-post til de ansatte direkte fra HogiaLønn

Tekniske krav til portal med publiseringsløsning (fase 1)

INTEGRASJONSGUIDE BP CODE Cisco ASA 8.3x 9.1x

1. Installasjon av ISA 2004

PRODUKTBESKRIVELSE. NRDB Nummerforespørsel

Resymé: I denne leksjonen vil vi se på typer brannmurer, konfigurering av brannmurer og IDS

Opprinnelig IP-pakke inneholder 4480 Byte data. Dette er inklusiv IPheader. Max nyttelast på EthernetRammen er 1500 oktetter.

GRICtraveler TM. Corporate Remote Access Den manglende brikken i en global løsning. Global Internett aksess til lokal takst

6105 Windows Server og datanett

Transkript:

Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll, og hva brukes de til? b) Gi eksempler på sikkerhetstjenester som støttes av sikkerhetsprotokoller. c) Gi eksempler på velkjente sikkerhetsprotokoller som brukes på Internett. a) En sikkerhetsprotokoll er en type kommunikasjonsprotokoll kombinert med kryptografiske mekanismer, dvs. at det er en spesifikasjon på formater og sekvens for utveksling av meldinger mellom noder i et kommunikasjonsnett, inkludert kryptografiske funksjoner som utføres av hver node. b) Typiske tjenester som støttes av sikkerhetsprotokoller er: konfidensialitet, noteautentisering, data-autentisering, dataintegritet, og nøkkelutveksling/etablering. c) Velkjente sikkerhetsprotokoller er: TLS (SSL), IPSec, Kerberos, SAML (som brukes i federert identitetshåndtering), OAuth (som brukes for tilgangskontroll i online sosiale nettverk), e-valgprotokoller, e-betalingsprotokoller, osv. Spørsmål 2: TLS TLS er en sikkerhetsprotokoll som brukes på Internett, men TLS består egentlig av flere separate del-protokoller. a) Hvilken IP-port er reservert for http over TLS? Hvilken URL-prefiks indikerer at en applikasjon bruker http over TLS? b) Beskriv kort hvor i OSI og TCP/IP protokollagene TLS opererer. c) Forklare kort formålet med TLS Handshake-protokollen. d) Nevn sikkerhetstjenestene som TLS Record-protokollen støtter i en TLS-forbindelse. e) Hvordan er TLS Handshake-protokollen og TLS Record-protokoll relatert? f) I Handshake-protokollen kan klienten og serveren forhandle om hvilke Chiffer-suite som skal brukes. Hvorfor er denne forhandlingen nyttig? Hvorfor utgjør forhandlingen en potensiell sikkerhetsårbarhet?

a) Port 443 er reservert for TLS. «https» er prefikset for TLS/SSL-forbindelser. b) TLS består av flere del-protokoller. Record-protokollen ligger over TCP-protokollen. Handshake-protokollen, Change Cipher Suite-protokollen, og Alert-protokollen ligger på samme lag som http-protokollen. c) Handshake-protokollen: forhandler krypto-parametere, etablerer sesjonsnøkkel (øktnøkkel) og utfører server-autentisering (eventuelt også klient-autentisering). d) Meldings-konfidensialitet og meldings-integritet e) Krypto-algoritmene og nøkkelen som utveksles i Handshake-protokollen brukes av Record-protokollen for å beskytte dataene som overføres. f) Klient og server kan støtte ulike kryptografiske algoritmer, så de må bli enige om å bruke de sterkeste algoritmene som begge støtter. En potensiell sårbarhet er at en angriper kan lure klienten og/eller server til å bruke svakere algoritmer enn de egentlig støtter. Spørsmål 3: VPN a) Når det brukes en sky-vpn, hvilke trafikkdata er skjult for brukerens ISP? b) Når det brukes en sky-vpn, hvilke trafikkdata kan VPN-tilbyderen få tak i? c) Når man bruker TOR, hvilke trafikkdata er skjult for brukerens ISP? d) Når man bruker TOR, hvilke trafikkdata kan TOR acceess-serveren se? e) Hvordan kan du forhindre at din ISP vet at du bruker TOR? a) Brukerens ISP kan ikke se innholdet og kan ikke se den egentlige destinasjonens nettadresse. ISP kan bare se at brukeren får tilgang til en sky-vpn. b) VPN-tilbyderen kan se URL-adressene. Hvis det ikke brukes ende-til-endekryptering (https) kan VPN-tilbydren også se innholdet. Med en ende-til-endekryptering f.eks. med TLS kan ikke VPN-tilbyderen se innholdet. c) Samme som for sky-vpn. ISP kan se at brukeren får tilgang til en TOR-server. d) TOR access-serveren ser ikke innholdet og kan ikke se destinasjonens nettadresse. TOR access-serveren kan bare se brukerens IP-adresse. e) Å forhindre at ISP får vite at bruker går gjennom TOR kan gjøres ved å bruke TOR igjennom en sky-vpn.

Spørsmål 4: Brannmur & inntrengingsdeteksjon Med hensyn til figuren over. a) Hva er formålet med DMZ? Hva slags tjenester finnes der? b) Brannmuren i figuren er packet filter. På hvilket lag opererer et packet filter? c) Hva er en typisk sikker konfigurasjon (filterregler) for brannmurene? d) Hvor plasseres et nettverk inntrengingsdeteksjon (NIDS)? a) Alle tjenester som skal være tilgjengelige fra internett (f.eks. epost, offentlig webserver) plasseres i eget nettverk (DMZ). Brannmurene er konfigurert på en måte slik at tilgang fra Internett til det interne nettverket er mulig. Dette gjør angrep i det interne nettverket veldig vanskelig b) Pakkefiltre fungerer på lag 3 og 4 (delvis lag 2). c) Ekstern brannmur: Utgående forbindelser: tillat alle Innkommende forbindelser: tillat port 80, 443 til webserver, port 53 til DNSserveren, port 25 (kanskje også 143, 993) til e-postserver; forby alt annet Intern brannmur: Utgående forbindelser: tillat alle Innkommende forbindelser: forby alle; kanskje tillat tilkobling fra webserver til DB-server d) I DMZ og i det interne nettverket

Oppgave 1: VPN Denne oppgaven kan bare løses hvis du er koblet til et annet nettverk enn UiO (eduroam) nettverk, for eksempel hjemme. Alternativt kan du bruke en kommersiell VPN-tjeneste mens du er på UiO; der er mange reklamen VPN tjenestene, der hvor noe ledig tjenestene med begrenset behandlingskapasitet, e.g. windscribe.com. Trinn I: Alternativ A: Du må være hjemme eller et sted utenfor UiO. Alternativ B: Du kan bruke en kommersiell VPN-tjeneste mens du er på UiO. Deretter gå til følgende nettsteder: https://www.whatismyip.net/ https://ieeexplore.ieee.org/xplore/home.jsp I online-bibilioteket IEEE Xplore, søk etter og forsøk å laste ned følgende artikkel som pdf: Privacy Issues and Data Protection in Big Data: A Case Study Analysis under GDPR Behold nettleservinduene for sammenligning i Trinn II. Trinn II: Alternativ A: Du må være hjemme eller et sted utenfor UiO. Universitetet i Oslo tilbyr sin egen VPN-tjeneste for alle UiO-brukere. Dette er nyttig for eksempel når du er utenfor UiO og ønsker å få tilgang til digitale biblioteker som UiO abonnerer på. Installere eller konfigurere din UiO VPN-klient: https://www.uio.no/tjenester/it/utenfra/vpn/ og sett opp en VPN-forbindelse til UiO-tjeneren. Alternative B: Hvis du i Trinn I brukte en kommersiell VPN-tjeneste mens du var på UiO, sørg for at du nå slår av denne VPN-tjenesten. Deretter kan du gå til de nevnte websidene igjen, og observere forskjeller med hensyn på:

a. Din IP-adresse b. Påloggingsidentiteten for tilgang til IEEE Xplore-biblioteket c. Tilgangsrettigheter til artikler Forklar forskjellene. Løsningsforslag a. IP-addressen er utenfor UiO i Trinn I. IP-adressen er en UiO-adresse i Trinn II b. IEEE spør etter «Institutional Sign In» i Trinn 1. IEEE vet at du er fra University of Oslo i Trinn II c. Ingen tilgang til pdf av artikler i Trinn I. Tilgang til pdf av artikler i Trinn II. Ved å bruke UiO sin VPN-tjeneste vil det se ut som om du er på UiO, selv om du ikke fysisk er det. UiO sin VPN-tjenesten er en proxy mellom deg og alle web-tjenester, slik at web-tjenestene tror du kommer fra UiO.

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding