SlideShare a Scribd company logo

01 j.sa302 lec1 info_sec

Download as PPTX, PDF
Babaa Naya
Babaa Naya

СНХ

Education
1 of 46
Лекц 1 Аюулгүй байдлын үндэс МАГИСТР, ЗААХ АРГАЧ БАГШ Н.БАТБОЛД / ЦТТМССХА / Нууцлалын протоколууд
Хичээлийн сурах бичиг Үндсэн сурах бичиг: - CompTIA Security+ Study Guide SY0-301, 6th Edition - CompTIA Security+ Study Guide SY0-401, 6th Edition Нэмэлт сурах бичиг: - Cryptography_and_Network_Security__Principles_and_Practice__5th_Edition_
Хичээлийн ерөнхий агуулга Network security Compliance and Operational Security Threats and Vulnerabilities Application, Data and Host security Access control and Identity Management Cryptography
Хичээлийн дүнгийн задаргаа ТӨРӨЛ ХИЧЭЭЛИЙН ДОЛОО ХОНОГ ҮНЭЛГЭЭ ЛЕКЦ 16 5 СОРИЛ 1,2 I (7-8) II (14-15) 20 ЛАБОРАТОРИ 16 30 БИЕ ДААЛТ 5-15 15 УЛИРЛЫН ШАЛГАЛТ 30 НИЙТ 100
Агуулга Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний үндэс Нууцлал хамгаалалтыг протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 5
Confidentiality Нууцлал хамгаалалтын механизм/tools/: ◦ Access control(authorization): аливаа нууцлагдсан систем рүү хандалтыг хязгаарлах дүрэм болон бодлого ◦ Хэрэглэгчийг адилтган таних ◦ Хэрэглэгчийн эрхийг түвшинг тодорхойлох ◦ Хэрэглэгчийн хандалтын мэдээллийг хадгалах ◦ Authentication: ◦ Таны мэдэж байгаа зүйл (нууц үг, PIN-код); ◦ Танд байгаа зүйл (смарт-карт эсхүл таних тэмдэг, үнэмлэх); ◦ Та хэн болох (хурууны хээ, нүдний торон бүрхэвч г.м). D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 6
Confidentiality Нууцлал хамгаалалтын механизм/tools/: Physical security: зөвшөөрөлгүй хандалтын эсрэг аливаа биет зүйлсийг хэрэглэх ◦ Locks - alarms, guards, guard dogs, doors, windows ◦ Authentication ◦ Direct Attacks /Environmental Attacks/- electricity, key logger, wiretapping ◦ Computer Forensics D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 7
Integrity Нууцлал хамгаалалтын үйлчилгээ. ◦ Integrity: Мэдээллийн үнэн зөв байдлыг хянаж, өөрчлөлтөөс сэргийлэх үүрэгтэй. Нууцлал хамгаалалтын механизм/tools/: ◦ Backups: нөөцлөх ◦ Checksums: CRC-32, hash ◦ Data correcting codes: мэдээллийг алдаагүй хадгалах арга, богино хугацаанд мэдэрч, өөрчлөлтийг засварлана D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 8
Hash value for download
Availability Нууцлал хамгаалалтын үйлчилгээ. ◦ Availability: Мэдээллийг ажлын бэлэн байдалд байлгах, систем, сүлжээнд хандах боломжийг байнга хангах ◦ Нууцлал хамгаалалтын механизм/tools/: ◦ Physical protections: мэдээллийн сангийн биет хамгаалалтыг хангах ◦ Computational redundancies: нөөцийг үүсгэх ◦ Disk redundancies (RAID) ◦ Server redundancies (clusters) ◦ Site redundancies ◦ Backups ◦ Alternate power ◦ Cooling systems D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 10
Balancing CIA You can never have perfect security Increasing one item lowers others Increasing confidentiality generally lowers availability ◦ Example: long ,complex passwords that are easily forgotten
Мэдээллийн аюулгүй байдлыг хангах давхрага
Non-Repudiation Prevents entities from denying that they took an action Examples: signing a home loan, making a credit card purchase Techniques ◦ Digital signatures ◦ Audit logs
Risk – Эрсдэлийн үндэс Risk ◦ The likelihood of a threat exploiting a vulnerability, resulting in a loss Аюул занал - Threat Мэдээллийн нууцлал, хамгаалалтын чиг үүргүүдийг эсрэг мэдээллийн нөөцөд учирч болох хор хөнөөлтэй нөхцлүүдийг хэлнэ Vulnerability ◦ Мэдээллийн капиталд хор хөнөөл учруулж болзошгүй нөхцөл
Threats and Attacks Eavesdropping: Холболтын шугмаар мэдээлэл дамжих явцад дундаас нь барьж авах үйлдэл юм D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 15 Alice Bob Eve
Threats and Attacks ◦ Masquerading: Зөвшөөгдсөн хэрэглэгчийн өмнөөс хандаж мэдээлэл авах D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 16 “From: Alice” (really is from Eve)
Threats and Attacks Repudiation: өгөгдлийн итгэмжлэл болон хүлээн авахын эсрэг халдпага. ◦ Гуравдагч этгээдийн баталгаажуулалтыг шаарддаг D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 17 Public domain image from http://commons.wikimedia.org/wiki/File:Plastic_eraser.jpeg
Эрсдлийг бууруулах Эрсдлийн удирдлагыг хэрэгжүүлэх Эрсдлийн үнэлгээ хийх аргачлалуудыг хэрэгжүүлэх “Мэдээллийн технологи - Аюулгүй байдлын арга техник - Мэдээллийн аюулгүй байдлын эрсдэлийн удирдлага, MNS 5969:2009” стандарт  Олон улсын стандарт ISO/IEC 27001:2005 Монгол улсын стандарт “MNS ISO IEC 27001:2009 Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо шаардлага” 
Assurance Нууцлал хамгаалалтын үйлчилгээ. ◦ Assurance – компьютерийн системд мэдээллийн үнэн зөвийг хэрхэн хангаж удирдахыг тодорхойлно Trust management: ◦ Дүрэм - зөв хандлагыг төлөвшүүлэх ◦ Жишээ нь: онлайн хөгжмийн системийн дизайнер хэрэглэгчид хэрхэн хандаж дууг хуулбарлаж авах дүрмийг гаргах ◦ Зөвшөөрөл- эрхийн түвшинг тодорхойлох ◦ Дууг худалдаж авсан хүмүүс хуулбарлан олшруулах эрхгүй ◦ Хамгаалах- дүрэм зөвшөөрлийг хэрэгжүүлэх ◦ Дууг хуулбарлан тараахаас сэргийлж, хамгаалах D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 19
Authenticity Нууцлал хамгаалалтын үйлчилгээ. ◦ Authenticity – аливаа хүн, системийн олгосон дүрэм, зөвшөөрөл нь үнэн эсэхийг тодорхойлох боломжтой /genuine/. ◦ Нууцлал хамгаалалтын механизм/tools/: ◦ digital signatures – итгэмжлэлээр хангаж тасралтгүй ажиллагаа /nonrepudiation/ аюулгүй байдлын үйлчилгээгээр хангана D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 20
Authentication Services Kerberos ◦ Used in Windows Active Directory Domains ◦ Used in UNIX realms ◦ Developed at MIT ◦ Prevents Man-in-the-Middle attacks and replay attacks
LDAP (Lightweight Directory Access Protocol) Formats and methods to query directories Used by Active Directory An extension of the X.500 standard LDAP v2 can use SSL encryption LDAP v3 can use TLS encryption LDAP uses ports 389 (unencrypted) or 636 (encrypted) (TCP and UDP)
IEEE 802.1x Port-based authentication ◦ User conects to a specific access point or logical port Secures authentication prior to the client gaining access to a network Most common on wireless networks ◦ WPA Enterprise or WPA2 Enterprise Requires a RADIUS (Remote Authentication Dial-in User Service) or other centralized identification server
Remote Access authentication Clients connect through VPN (Virtual Private Network) or dial-up A VPN allows a client to access a private network over a public network, usually the Internet
Remote Access Authentication Methods PAP (Password Authentication Protocol) ◦ Passwords sent in cleartext, rarely used CHAP (Challenge Handshake Protocol) ◦ Server challenges the client ◦ Client responds with appropriate authentication information MS-CHAP ◦ Microsoft's implementation of CHAP ◦ Deprecated
Remote Access Authentication Methods RADIUS (Remote Authentication Dial-in User Service) ◦ Central authentication for multiple remote access servers ◦ Encrypts passwords, but not the entire authentication process ◦ Uses UDP
Remote Access Authentication Methods TACACS (Terminal Access Controller Access-Control System) ◦ Was used in UNIX systems, rare today TACACS+ ◦ Cisco proprietary alternative to RADIUS ◦ Interacts with Kerberos ◦ Encrypts the entire authentication process ◦ Uses TCP ◦ Uses multiple challenges and responses during a session
AAA Protocols: Authentication, Authorization, and Accounting Authentication ◦ Verifies a user's identification Authorization ◦ Determines if a user should have access Accounting ◦ Tracks user access with logs
Cryptographic Concepts Encryption: D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 30 Alice Bob Eve
Cryptosystem 1. The set of possible plaintexts 2. The set of possible ciphertexts 3. The set of encryption keys 4. The set of decryption keys 5. The correspondence between encryption keys and decryption keys 6. The encryption algorithm to use 7. The decryption algorithm to use D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 31
Caesar Cipher Replace each letter with the one “three over” in the alphabet. D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 32Public domain image from http://commons.wikimedia.org/wiki/File:Caesar3.svg
Symmetric Key Distribution Харилцаж байгаа хосууд харилцан түлхүүр солилцох шаардлагатай D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 33 n (n-1)/2 keys shared secret shared secret shared secret shared secret shared secret shared secret
Digital Signatures To sign a message, M, Alice just encrypts it with her private key, SA, creating C = ESA(M). Anyone can decrypt this message using Alice’s public key, as M’ = DPA(C), and compare that to the message M. D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 34
Cryptographic Hash Functions Хэш функц H –ийн үйлдэл: ◦ Оролтонд - Санамсаргүй урттай M мессэж ◦ Гаралтанд – Тогтмол урттай H(M) утга H(M) –ийг хэш утга гэж нэрлэдэг. ◦ (or message digest, or checksum) Жишээ: SHA-1, SHA-256. D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 35
Digital Certificates Certification Authority (CA)-ээс гаргасан хэрэглэгчийн нийтийн түлхүүрийг итгэмжлэх баримтыг тоон сертификат гэж нэрлэдэг D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 36
Topic: Access Control Users and groups Authentication Passwords File protection Access control lists • Which users can read/write which files? • Are my files really safe? • What does it mean to be root? • What do we really want to control? 11/13/2020 D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 37 INTRODUCTION
Агуулга Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний үндэс Нууцлал хамгаалалтыг протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 38
Сүлжээний бүрэлдэхүүн хэсгүүд Яриа, дүрс, текст дамжуулах сүлжээ Д.ЭРДЭНЭТУЯА, МХТС 2015 39 Бүрэлдэхүүн хэсэг Үүрэг Хэлбэр Төхөөрөмж • Өгөгдлийг үүсгэх • Дамжуулах • Өгөгдлийг хүлээн авах IP хаягтай бүх зүйлс хамаарна. Төгсгөлийн (PC, Phone, TV) Дундын (Switch, Router, Firewall) Дамжуулах орчин Төхөөрөмж хооронд холбох Утастай ба утасгүй Дүрэм Програм ба техник хангамж хоорондын зохицуулалтыг хийнэ Стандарт, протокол, технологи Мессэж Сүлжээгээр дамжиж байгаа мэдээлэл Текст, дуу, дүрс  Нэгдмэл сүлжээ D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД
Суурь сүлжээ (Teleglobe) D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД
Түвшин хоорондын харилцан ажиллагаа Хэрэглээнүүд Веб хуудас Мэйл 41 Хэрэглээний програм хангамж Хэрэглээний дугаар /port дугаар/ Веб - 80 Төхөөрөмжийн байршлын хаяг /IP хаяг/ gogo.mn – 202.131.225.29 Төхөөрөмжийн интерфейс картны физик хаяг /MAC хаяг/ 08-9E-01-5B-BA-E2 D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД
OSI загвар Тайлбар загвар – OSI (open system interconnection) ◦ 1980-аад онд ISO байгууллагаас гаргасан. ◦ Сүлжээний боловсруулалтыг нарийвчлан тайлбарлахад туслах зориулалттай. ◦ 7 түвшинтэй Д.ЭРДЭНЭТУЯА, МХТС 2015 42 D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД
Шуудан холбооны системийг OSI-аар тайлбарлавал OSI загварын түвшингүүд Шуудан холбооны түвшингүүд Компьютерийн сүлжээ Хэрэглээ Захиаг бичнэ Хэрэглээний програмын тусламжтай мэдээллийг бэлтгэнэ Үзүүлэн Хүлээн авах хүн ойлгох хэлийг ашиглана Хүлээн авах талын п/х ойгох боломжтой форматад хөрвүүлнэ Холболт Шуудангийн хайрцагтаа хийнэ Хүлээн авах талын програм хангамжтай виртуал холболт тогтооно Дамжуулал Хүлээн авагч хүний шуудангийн хайрцагт дамжуулна Тогтсон холболтоор end-to-end дамжуулал хийнэ Сүлжээ Төгсгөлийн шуудангийн салбар хоорондын дамжуулалт Хүлээн авах талын хаягаар хүргэж өгнө Өгөгдлийн суваг Хөрш шуудан луу дамжуулах Хөрш төхөөрөмжийн интерфейс хооронд холбоно Физик Усан онгоцоор тээвэрлэх Дамжуулах орчноор дохиог дамжуулна 43
Агуулга Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний үндэс Нууцлал хамгаалалтыг протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 44
Нууцлалын протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 45 Түвшин Протокол Нууцлалын Протокол Халдлага Хэрэглээ Telnet, FTP, rlogin, Windows, MacOS, UNIX, HTTP, SNMP, RMON, DNS, Finger PGP, SSH, SMIME, SET, 3D- secure, X.509, IKE, ISAKMP Email bombs and SPAM; Trojan horses; viruses; Unauthorized access to key devices; brute force attacks; holes in Oss and network Oss; browser holes; java, active-X; reconnaissance and mapping; DNS killer; control daemons; holes; access permissions; and key logger. Үзүүлэн ASCII, HTML, wav, pict Unencrypted data formats are easily viewed. Compressed Trojan and virus files can bypass security. Холболт Xwindow,NFS, SQL, RPS, Bind, SMB SSL/TLS Traffic monitoring, share vulnerabilities, and root access. Дамжуулал TCP, UDP, SPX Port scans, spoofing and session hijacking, DoS attacks, Syn Flood UDP bombs, and fragmentation Сүлжээ IP, IPX, ICMP IPsec Ping scans and packet sniffing. ARP poisoning and spoofing, DDoS SMURF, DoS Pings of death, fragmentation. Өгөгдлийн холбоо MAC, LLC CHAP, PPTP., L2F, WPA, WEP, EAP Reconnaissance and sniffing Frame manifulation, insecure or no VLANs, spoofing broadcast storm, misconfigured or falling NICs Физик Media, connectors, devices Physical security Wire tap and sniffing, full network access and recon in a nonswitched LAN, Vandalism, natural disasters, power failure, theft, and so on.
Дүгнэлт Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний шаардлага, загвар Нууцлал хамгаалалтын протоколуудын OSI загварын харилцан хамаарал D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД

Recommended

011 2 ba
011 2 ba011 2 ba
011 2 ba
Babaa Naya
 
Lab 6
Lab 6Lab 6
Lab 6
Babaa Naya
 
07 08 web security
07 08 web security07 08 web security
07 08 web security
Babaa Naya
 
D.sa302 lab 1
D.sa302 lab 1D.sa302 lab 1
D.sa302 lab 1
Babaa Naya
 
011 az
011 az011 az
011 az
Babaa Naya
 
Lab7
Lab7Lab7
Lab7
Babaa Naya
 
Lab5
Lab5Lab5
Lab5
Babaa Naya
 
Point To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol PresentationPoint To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol Presentation
batso
 

Recommended

011 2 ba
011 2 ba011 2 ba
011 2 ba
Babaa Naya
 
Lab 6
Lab 6Lab 6
Lab 6
Babaa Naya
 
07 08 web security
07 08 web security07 08 web security
07 08 web security
Babaa Naya
 
D.sa302 lab 1
D.sa302 lab 1D.sa302 lab 1
D.sa302 lab 1
Babaa Naya
 
011 az
011 az011 az
011 az
Babaa Naya
 
Lab7
Lab7Lab7
Lab7
Babaa Naya
 
Lab5
Lab5Lab5
Lab5
Babaa Naya
 
Point To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol PresentationPoint To Point Tunneling Protocol Presentation
Point To Point Tunneling Protocol Presentation
batso
 
09 sa302 lec4 v2
09 sa302 lec4 v209 sa302 lec4 v2
09 sa302 lec4 v2
Babaa Naya
 
VPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалVPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдал
Temka Temuujin
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээ
Ochiroo Dorj
 
Lec3.
Lec3.Lec3.
Lec3.
Mr_Endko
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээ
Ochiroo Dorj
 
Wireless
WirelessWireless
Wireless
Bat Suuri
 
утасгүй сүлжээний аюулгүй байдлын тухай.
утасгүй сүлжээний аюулгүй байдлын тухай.утасгүй сүлжээний аюулгүй байдлын тухай.
утасгүй сүлжээний аюулгүй байдлын тухай.
Ochiroo Dorj
 
Lab4
Lab4Lab4
Lab4
Babaa Naya
 
Lab6
Lab6Lab6
Lab6
Babaa Naya
 
утасгүй сүлжээний нууцлал хамгаалалт
утасгүй сүлжээний нууцлал хамгаалалтутасгүй сүлжээний нууцлал хамгаалалт
утасгүй сүлжээний нууцлал хамгаалалт
boldoo_hf
 
Wireless
WirelessWireless
Wireless
Ochiroo Dorj
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fw
Babaa Naya
 
Утасгүй сүлжээ
Утасгүй сүлжээУтасгүй сүлжээ
Утасгүй сүлжээ
Bat Suuri
 
It101 lab 8
It101 lab 8It101 lab 8
It101 lab 8
BPurev
 
Lab7
Lab7Lab7
Lab7
BPurev
 
02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu
Babaa Naya
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fw
Babaa Naya
 
сүлжээний хичээл
сүлжээний хичээлсүлжээний хичээл
сүлжээний хичээл
enhsaran_tsahim
 
Лаборатор-8
Лаборатор-8Лаборатор-8
Лаборатор-8
taivna
 
Router гэж юу вэ ?
Router гэж юу вэ ?Router гэж юу вэ ?
Router гэж юу вэ ?
Ochiroo Dorj
 
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Babaa Naya
 
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Babaa Naya
 

More Related Content

What's hot

VPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалVPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдал
Temka Temuujin
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээ
Ochiroo Dorj
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээ
Ochiroo Dorj
 
утасгүй сүлжээний аюулгүй байдлын тухай.
утасгүй сүлжээний аюулгүй байдлын тухай.утасгүй сүлжээний аюулгүй байдлын тухай.
утасгүй сүлжээний аюулгүй байдлын тухай.
Ochiroo Dorj
 
утасгүй сүлжээний нууцлал хамгаалалт
утасгүй сүлжээний нууцлал хамгаалалтутасгүй сүлжээний нууцлал хамгаалалт
утасгүй сүлжээний нууцлал хамгаалалт
boldoo_hf
 
It101 lab 8
It101 lab 8It101 lab 8
It101 lab 8
BPurev
 
02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu
Babaa Naya
 
сүлжээний хичээл
сүлжээний хичээлсүлжээний хичээл
сүлжээний хичээл
enhsaran_tsahim
 
Router гэж юу вэ ?
Router гэж юу вэ ?Router гэж юу вэ ?
Router гэж юу вэ ?
Ochiroo Dorj
 

What's hot (20)

09 sa302 lec4 v2
09 sa302 lec4 v209 sa302 lec4 v2
09 sa302 lec4 v2
 
VPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдалVPN сүлжээ түүний аюулгүй байдал
VPN сүлжээ түүний аюулгүй байдал
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээ
 
Lec3.
Lec3.Lec3.
Lec3.
 
утасгүй сүлжээ
утасгүй сүлжээутасгүй сүлжээ
утасгүй сүлжээ
 
Wireless
WirelessWireless
Wireless
 
утасгүй сүлжээний аюулгүй байдлын тухай.
утасгүй сүлжээний аюулгүй байдлын тухай.утасгүй сүлжээний аюулгүй байдлын тухай.
утасгүй сүлжээний аюулгүй байдлын тухай.
 
Lab4
Lab4Lab4
Lab4
 
Lab6
Lab6Lab6
Lab6
 
утасгүй сүлжээний нууцлал хамгаалалт
утасгүй сүлжээний нууцлал хамгаалалтутасгүй сүлжээний нууцлал хамгаалалт
утасгүй сүлжээний нууцлал хамгаалалт
 
Wireless
WirelessWireless
Wireless
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fw
 
Утасгүй сүлжээ
Утасгүй сүлжээУтасгүй сүлжээ
Утасгүй сүлжээ
 
It101 lab 8
It101 lab 8It101 lab 8
It101 lab 8
 
Lab7
Lab7Lab7
Lab7
 
02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu02 j.sa302 lec2 mac_sec_edited_turuu
02 j.sa302 lec2 mac_sec_edited_turuu
 
012 sec arch fw
012 sec arch fw012 sec arch fw
012 sec arch fw
 
сүлжээний хичээл
сүлжээний хичээлсүлжээний хичээл
сүлжээний хичээл
 
Лаборатор-8
Лаборатор-8Лаборатор-8
Лаборатор-8
 
Router гэж юу вэ ?
Router гэж юу вэ ?Router гэж юу вэ ?
Router гэж юу вэ ?
 

More from Babaa Naya

Suraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgooSuraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgoo
Babaa Naya
 
012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9
Babaa Naya
 

More from Babaa Naya (18)

Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
Суралцагчийн мэдлэг, чадвар, дадлыг үнэлэх, дүгнэх журам
 
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын суралцагчид тэт...
 
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
Мэргэжлийн болон техникийн боловсролын сургалтын байгууллагын багшид мэргэжли...
 
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
Мэргэжлийн боловсрол, сургалтын байгууллагын төгсөгчдөд мэргэжлийн диплом, үн...
 
Suraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgooSuraltsagchid chiglesen uilchilgee hesgiin notolgoo
Suraltsagchid chiglesen uilchilgee hesgiin notolgoo
 
Img 20210105 0002
Img 20210105 0002Img 20210105 0002
Img 20210105 0002
 
Img 20210105 0001
Img 20210105 0001Img 20210105 0001
Img 20210105 0001
 
Cisco packet tracer
Cisco packet tracerCisco packet tracer
Cisco packet tracer
 
Cisco packet tracer
Cisco packet tracerCisco packet tracer
Cisco packet tracer
 
Lab10
Lab10Lab10
Lab10
 
Lab9
Lab9Lab9
Lab9
 
Lab8
Lab8Lab8
Lab8
 
Lab3
Lab3Lab3
Lab3
 
Lab2
Lab2Lab2
Lab2
 
Lab1
Lab1Lab1
Lab1
 
012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9012 2 ccna sv2-instructor_ppt_ch9
012 2 ccna sv2-instructor_ppt_ch9
 
010 sa302 aaa+ldap
010 sa302 aaa+ldap010 sa302 aaa+ldap
010 sa302 aaa+ldap
 
010 sa302 aaa+ldap
010 sa302 aaa+ldap010 sa302 aaa+ldap
010 sa302 aaa+ldap
 

01 j.sa302 lec1 info_sec

  • 1. Лекц 1 Аюулгүй байдлын үндэс МАГИСТР, ЗААХ АРГАЧ БАГШ Н.БАТБОЛД / ЦТТМССХА / Нууцлалын протоколууд
  • 2. Хичээлийн сурах бичиг Үндсэн сурах бичиг: - CompTIA Security+ Study Guide SY0-301, 6th Edition - CompTIA Security+ Study Guide SY0-401, 6th Edition Нэмэлт сурах бичиг: - Cryptography_and_Network_Security__Principles_and_Practice__5th_Edition_
  • 3. Хичээлийн ерөнхий агуулга Network security Compliance and Operational Security Threats and Vulnerabilities Application, Data and Host security Access control and Identity Management Cryptography
  • 4. Хичээлийн дүнгийн задаргаа ТӨРӨЛ ХИЧЭЭЛИЙН ДОЛОО ХОНОГ ҮНЭЛГЭЭ ЛЕКЦ 16 5 СОРИЛ 1,2 I (7-8) II (14-15) 20 ЛАБОРАТОРИ 16 30 БИЕ ДААЛТ 5-15 15 УЛИРЛЫН ШАЛГАЛТ 30 НИЙТ 100
  • 5. Агуулга Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний үндэс Нууцлал хамгаалалтыг протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 5
  • 6. Confidentiality Нууцлал хамгаалалтын механизм/tools/: ◦ Access control(authorization): аливаа нууцлагдсан систем рүү хандалтыг хязгаарлах дүрэм болон бодлого ◦ Хэрэглэгчийг адилтган таних ◦ Хэрэглэгчийн эрхийг түвшинг тодорхойлох ◦ Хэрэглэгчийн хандалтын мэдээллийг хадгалах ◦ Authentication: ◦ Таны мэдэж байгаа зүйл (нууц үг, PIN-код); ◦ Танд байгаа зүйл (смарт-карт эсхүл таних тэмдэг, үнэмлэх); ◦ Та хэн болох (хурууны хээ, нүдний торон бүрхэвч г.м). D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 6
  • 7. Confidentiality Нууцлал хамгаалалтын механизм/tools/: Physical security: зөвшөөрөлгүй хандалтын эсрэг аливаа биет зүйлсийг хэрэглэх ◦ Locks - alarms, guards, guard dogs, doors, windows ◦ Authentication ◦ Direct Attacks /Environmental Attacks/- electricity, key logger, wiretapping ◦ Computer Forensics D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 7
  • 8. Integrity Нууцлал хамгаалалтын үйлчилгээ. ◦ Integrity: Мэдээллийн үнэн зөв байдлыг хянаж, өөрчлөлтөөс сэргийлэх үүрэгтэй. Нууцлал хамгаалалтын механизм/tools/: ◦ Backups: нөөцлөх ◦ Checksums: CRC-32, hash ◦ Data correcting codes: мэдээллийг алдаагүй хадгалах арга, богино хугацаанд мэдэрч, өөрчлөлтийг засварлана D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 8
  • 9. Hash value for download
  • 10. Availability Нууцлал хамгаалалтын үйлчилгээ. ◦ Availability: Мэдээллийг ажлын бэлэн байдалд байлгах, систем, сүлжээнд хандах боломжийг байнга хангах ◦ Нууцлал хамгаалалтын механизм/tools/: ◦ Physical protections: мэдээллийн сангийн биет хамгаалалтыг хангах ◦ Computational redundancies: нөөцийг үүсгэх ◦ Disk redundancies (RAID) ◦ Server redundancies (clusters) ◦ Site redundancies ◦ Backups ◦ Alternate power ◦ Cooling systems D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 10
  • 11. Balancing CIA You can never have perfect security Increasing one item lowers others Increasing confidentiality generally lowers availability ◦ Example: long ,complex passwords that are easily forgotten
  • 12. Мэдээллийн аюулгүй байдлыг хангах давхрага
  • 13. Non-Repudiation Prevents entities from denying that they took an action Examples: signing a home loan, making a credit card purchase Techniques ◦ Digital signatures ◦ Audit logs
  • 14. Risk – Эрсдэлийн үндэс Risk ◦ The likelihood of a threat exploiting a vulnerability, resulting in a loss Аюул занал - Threat Мэдээллийн нууцлал, хамгаалалтын чиг үүргүүдийг эсрэг мэдээллийн нөөцөд учирч болох хор хөнөөлтэй нөхцлүүдийг хэлнэ Vulnerability ◦ Мэдээллийн капиталд хор хөнөөл учруулж болзошгүй нөхцөл
  • 15. Threats and Attacks Eavesdropping: Холболтын шугмаар мэдээлэл дамжих явцад дундаас нь барьж авах үйлдэл юм D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 15 Alice Bob Eve
  • 16. Threats and Attacks ◦ Masquerading: Зөвшөөгдсөн хэрэглэгчийн өмнөөс хандаж мэдээлэл авах D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 16 “From: Alice” (really is from Eve)
  • 17. Threats and Attacks Repudiation: өгөгдлийн итгэмжлэл болон хүлээн авахын эсрэг халдпага. ◦ Гуравдагч этгээдийн баталгаажуулалтыг шаарддаг D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 17 Public domain image from http://commons.wikimedia.org/wiki/File:Plastic_eraser.jpeg
  • 18. Эрсдлийг бууруулах Эрсдлийн удирдлагыг хэрэгжүүлэх Эрсдлийн үнэлгээ хийх аргачлалуудыг хэрэгжүүлэх “Мэдээллийн технологи - Аюулгүй байдлын арга техник - Мэдээллийн аюулгүй байдлын эрсдэлийн удирдлага, MNS 5969:2009” стандарт  Олон улсын стандарт ISO/IEC 27001:2005 Монгол улсын стандарт “MNS ISO IEC 27001:2009 Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо шаардлага” 
  • 19. Assurance Нууцлал хамгаалалтын үйлчилгээ. ◦ Assurance – компьютерийн системд мэдээллийн үнэн зөвийг хэрхэн хангаж удирдахыг тодорхойлно Trust management: ◦ Дүрэм - зөв хандлагыг төлөвшүүлэх ◦ Жишээ нь: онлайн хөгжмийн системийн дизайнер хэрэглэгчид хэрхэн хандаж дууг хуулбарлаж авах дүрмийг гаргах ◦ Зөвшөөрөл- эрхийн түвшинг тодорхойлох ◦ Дууг худалдаж авсан хүмүүс хуулбарлан олшруулах эрхгүй ◦ Хамгаалах- дүрэм зөвшөөрлийг хэрэгжүүлэх ◦ Дууг хуулбарлан тараахаас сэргийлж, хамгаалах D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 19
  • 20. Authenticity Нууцлал хамгаалалтын үйлчилгээ. ◦ Authenticity – аливаа хүн, системийн олгосон дүрэм, зөвшөөрөл нь үнэн эсэхийг тодорхойлох боломжтой /genuine/. ◦ Нууцлал хамгаалалтын механизм/tools/: ◦ digital signatures – итгэмжлэлээр хангаж тасралтгүй ажиллагаа /nonrepudiation/ аюулгүй байдлын үйлчилгээгээр хангана D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 20
  • 21. Authentication Services Kerberos ◦ Used in Windows Active Directory Domains ◦ Used in UNIX realms ◦ Developed at MIT ◦ Prevents Man-in-the-Middle attacks and replay attacks
  • 22. LDAP (Lightweight Directory Access Protocol) Formats and methods to query directories Used by Active Directory An extension of the X.500 standard LDAP v2 can use SSL encryption LDAP v3 can use TLS encryption LDAP uses ports 389 (unencrypted) or 636 (encrypted) (TCP and UDP)
  • 23. IEEE 802.1x Port-based authentication ◦ User conects to a specific access point or logical port Secures authentication prior to the client gaining access to a network Most common on wireless networks ◦ WPA Enterprise or WPA2 Enterprise Requires a RADIUS (Remote Authentication Dial-in User Service) or other centralized identification server
  • 24. Remote Access authentication Clients connect through VPN (Virtual Private Network) or dial-up A VPN allows a client to access a private network over a public network, usually the Internet
  • 25. Remote Access Authentication Methods PAP (Password Authentication Protocol) ◦ Passwords sent in cleartext, rarely used CHAP (Challenge Handshake Protocol) ◦ Server challenges the client ◦ Client responds with appropriate authentication information MS-CHAP ◦ Microsoft's implementation of CHAP ◦ Deprecated
  • 26.
  • 27. Remote Access Authentication Methods RADIUS (Remote Authentication Dial-in User Service) ◦ Central authentication for multiple remote access servers ◦ Encrypts passwords, but not the entire authentication process ◦ Uses UDP
  • 28. Remote Access Authentication Methods TACACS (Terminal Access Controller Access-Control System) ◦ Was used in UNIX systems, rare today TACACS+ ◦ Cisco proprietary alternative to RADIUS ◦ Interacts with Kerberos ◦ Encrypts the entire authentication process ◦ Uses TCP ◦ Uses multiple challenges and responses during a session
  • 29. AAA Protocols: Authentication, Authorization, and Accounting Authentication ◦ Verifies a user's identification Authorization ◦ Determines if a user should have access Accounting ◦ Tracks user access with logs
  • 31. Cryptosystem 1. The set of possible plaintexts 2. The set of possible ciphertexts 3. The set of encryption keys 4. The set of decryption keys 5. The correspondence between encryption keys and decryption keys 6. The encryption algorithm to use 7. The decryption algorithm to use D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 31
  • 32. Caesar Cipher Replace each letter with the one “three over” in the alphabet. D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 32Public domain image from http://commons.wikimedia.org/wiki/File:Caesar3.svg
  • 33. Symmetric Key Distribution Харилцаж байгаа хосууд харилцан түлхүүр солилцох шаардлагатай D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 33 n (n-1)/2 keys shared secret shared secret shared secret shared secret shared secret shared secret
  • 34. Digital Signatures To sign a message, M, Alice just encrypts it with her private key, SA, creating C = ESA(M). Anyone can decrypt this message using Alice’s public key, as M’ = DPA(C), and compare that to the message M. D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 34
  • 35. Cryptographic Hash Functions Хэш функц H –ийн үйлдэл: ◦ Оролтонд - Санамсаргүй урттай M мессэж ◦ Гаралтанд – Тогтмол урттай H(M) утга H(M) –ийг хэш утга гэж нэрлэдэг. ◦ (or message digest, or checksum) Жишээ: SHA-1, SHA-256. D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 35
  • 36. Digital Certificates Certification Authority (CA)-ээс гаргасан хэрэглэгчийн нийтийн түлхүүрийг итгэмжлэх баримтыг тоон сертификат гэж нэрлэдэг D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 36
  • 37. Topic: Access Control Users and groups Authentication Passwords File protection Access control lists • Which users can read/write which files? • Are my files really safe? • What does it mean to be root? • What do we really want to control? 11/13/2020 D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 37 INTRODUCTION
  • 38. Агуулга Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний үндэс Нууцлал хамгаалалтыг протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 38
  • 39. Сүлжээний бүрэлдэхүүн хэсгүүд Яриа, дүрс, текст дамжуулах сүлжээ Д.ЭРДЭНЭТУЯА, МХТС 2015 39 Бүрэлдэхүүн хэсэг Үүрэг Хэлбэр Төхөөрөмж • Өгөгдлийг үүсгэх • Дамжуулах • Өгөгдлийг хүлээн авах IP хаягтай бүх зүйлс хамаарна. Төгсгөлийн (PC, Phone, TV) Дундын (Switch, Router, Firewall) Дамжуулах орчин Төхөөрөмж хооронд холбох Утастай ба утасгүй Дүрэм Програм ба техник хангамж хоорондын зохицуулалтыг хийнэ Стандарт, протокол, технологи Мессэж Сүлжээгээр дамжиж байгаа мэдээлэл Текст, дуу, дүрс  Нэгдмэл сүлжээ D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД
  • 41. Түвшин хоорондын харилцан ажиллагаа Хэрэглээнүүд Веб хуудас Мэйл 41 Хэрэглээний програм хангамж Хэрэглээний дугаар /port дугаар/ Веб - 80 Төхөөрөмжийн байршлын хаяг /IP хаяг/ gogo.mn – 202.131.225.29 Төхөөрөмжийн интерфейс картны физик хаяг /MAC хаяг/ 08-9E-01-5B-BA-E2 D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД
  • 42. OSI загвар Тайлбар загвар – OSI (open system interconnection) ◦ 1980-аад онд ISO байгууллагаас гаргасан. ◦ Сүлжээний боловсруулалтыг нарийвчлан тайлбарлахад туслах зориулалттай. ◦ 7 түвшинтэй Д.ЭРДЭНЭТУЯА, МХТС 2015 42 D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД
  • 43. Шуудан холбооны системийг OSI-аар тайлбарлавал OSI загварын түвшингүүд Шуудан холбооны түвшингүүд Компьютерийн сүлжээ Хэрэглээ Захиаг бичнэ Хэрэглээний програмын тусламжтай мэдээллийг бэлтгэнэ Үзүүлэн Хүлээн авах хүн ойлгох хэлийг ашиглана Хүлээн авах талын п/х ойгох боломжтой форматад хөрвүүлнэ Холболт Шуудангийн хайрцагтаа хийнэ Хүлээн авах талын програм хангамжтай виртуал холболт тогтооно Дамжуулал Хүлээн авагч хүний шуудангийн хайрцагт дамжуулна Тогтсон холболтоор end-to-end дамжуулал хийнэ Сүлжээ Төгсгөлийн шуудангийн салбар хоорондын дамжуулалт Хүлээн авах талын хаягаар хүргэж өгнө Өгөгдлийн суваг Хөрш шуудан луу дамжуулах Хөрш төхөөрөмжийн интерфейс хооронд холбоно Физик Усан онгоцоор тээвэрлэх Дамжуулах орчноор дохиог дамжуулна 43
  • 44. Агуулга Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний үндэс Нууцлал хамгаалалтыг протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 44
  • 45. Нууцлалын протоколууд D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД 45 Түвшин Протокол Нууцлалын Протокол Халдлага Хэрэглээ Telnet, FTP, rlogin, Windows, MacOS, UNIX, HTTP, SNMP, RMON, DNS, Finger PGP, SSH, SMIME, SET, 3D- secure, X.509, IKE, ISAKMP Email bombs and SPAM; Trojan horses; viruses; Unauthorized access to key devices; brute force attacks; holes in Oss and network Oss; browser holes; java, active-X; reconnaissance and mapping; DNS killer; control daemons; holes; access permissions; and key logger. Үзүүлэн ASCII, HTML, wav, pict Unencrypted data formats are easily viewed. Compressed Trojan and virus files can bypass security. Холболт Xwindow,NFS, SQL, RPS, Bind, SMB SSL/TLS Traffic monitoring, share vulnerabilities, and root access. Дамжуулал TCP, UDP, SPX Port scans, spoofing and session hijacking, DoS attacks, Syn Flood UDP bombs, and fragmentation Сүлжээ IP, IPX, ICMP IPsec Ping scans and packet sniffing. ARP poisoning and spoofing, DDoS SMURF, DoS Pings of death, fragmentation. Өгөгдлийн холбоо MAC, LLC CHAP, PPTP., L2F, WPA, WEP, EAP Reconnaissance and sniffing Frame manifulation, insecure or no VLANs, spoofing broadcast storm, misconfigured or falling NICs Физик Media, connectors, devices Physical security Wire tap and sniffing, full network access and recon in a nonswitched LAN, Vandalism, natural disasters, power failure, theft, and so on.
  • 46. Дүгнэлт Мэдээллийн аюулгүй байдлын үндэс IP сүлжээний шаардлага, загвар Нууцлал хамгаалалтын протоколуудын OSI загварын харилцан хамаарал D.SA302НУУЦЛАЛЫНПРОТОКОЛУУД

Editor's Notes

  1. Д.ЭРДЭНЭТУЯА, МХТС - СҮЛЖЭЭНИЙ ТЕХНОЛОГИ
  2. Д.ЭРДЭНЭТУЯА, МХТС - СҮЛЖЭЭНИЙ ТЕХНОЛОГИ