security
play

Security CS 4720 Web & Mobile Systems CS 4720 - PowerPoint PPT Presentation

Dec 19, 2022 •182 likes •442 views

Security CS 4720 Web & Mobile Systems CS 4720 The Tradi/onal Security Model The Firewall Approach Keep the good guys in and the

  1. Security ¡ CS ¡4720 ¡– ¡Web ¡& ¡Mobile ¡Systems ¡ ¡ CS ¡4720 ¡

  2. The ¡Tradi/onal ¡Security ¡Model ¡ • The ¡Firewall ¡Approach ¡ • “Keep ¡the ¡good ¡guys ¡in ¡and ¡the ¡bad ¡guys ¡out” ¡ CS ¡4720 ¡ 2

  3. Distributed ¡System ¡Security ¡ • “Islands ¡of ¡Security” ¡ CS ¡4720 ¡ 3

  4. A ¡Paradigm ¡ShiH ¡without ¡a ¡Clutch ¡ • These ¡models ¡were ¡just ¡fine ¡when ¡corpora/ons ¡ had ¡their ¡own ¡networks ¡ • If ¡you ¡needed ¡in, ¡you ¡used ¡a ¡VPN ¡ • Now ¡the ¡open ¡Internet ¡is ¡used ¡as ¡the ¡main ¡ network ¡ • How ¡does ¡this ¡change ¡the ¡security ¡model? ¡ • Consider ¡this: ¡how ¡do ¡you ¡access ¡a ¡web ¡ service? ¡ CS ¡4720 ¡ 4

  5. A ¡Paradigm ¡ShiH ¡without ¡a ¡Clutch ¡ • Firewall ¡security ¡happens ¡at ¡ the ¡network ¡layer ¡ • But ¡now ¡we ¡need ¡access ¡on ¡a ¡ per-­‑applica/on ¡basis ¡ • How ¡can ¡we ¡achieve ¡that? ¡ CS ¡4720 ¡ 5

  6. A ¡Paradigm ¡ShiH ¡without ¡a ¡Clutch ¡ • Web ¡services ¡are ¡designed ¡to ¡penetrate ¡ firewalls, ¡since ¡they ¡use ¡port ¡80 ¡ • Applica/on-­‑level ¡security ¡is ¡needed ¡to ¡ examine: ¡ – Who ¡is ¡making ¡a ¡request ¡ – What ¡info ¡is ¡being ¡accessed ¡ – What ¡services ¡is ¡being ¡addressed ¡ • IP ¡based ¡security ¡is ¡s/ll ¡needed ¡though! ¡ CS ¡4720 ¡ 6

  7. Applica/on ¡Security ¡101 ¡ • What ¡are ¡some ¡basic ¡things ¡you ¡do ¡to ¡protect ¡ your ¡system ¡at ¡the ¡applica/on ¡level? ¡ • Catch ¡excep/ons ¡and ¡don’t ¡show ¡detailed ¡error ¡ messages ¡ • Hide ¡interfaces ¡ • “Don’t ¡trust ¡your ¡users” ¡ • Encryp/on ¡ CS ¡4720 ¡ 7

  8. Applica/on ¡Security ¡101 ¡ • Well… ¡shoot. ¡ • Web ¡services: ¡ – Have ¡publically ¡announced ¡interfaces! ¡ – Must ¡return ¡detailed ¡excep/ons ¡to ¡debug ¡systems! ¡ – At ¡some ¡level, ¡must ¡trust ¡users! ¡ • We ¡need ¡security ¡that ¡is ¡basically ¡XML-­‑aware ¡ CS ¡4720 ¡ 8

  9. System ¡Security ¡ • Human: ¡social ¡engineering ¡abacks ¡ • Physical: ¡“steal ¡the ¡server ¡itself” ¡ • Network: ¡treat ¡your ¡server ¡like ¡a ¡2 ¡year ¡old ¡ • Opera/ng ¡System: ¡the ¡war ¡con/nues ¡ • Applica/on: ¡just ¡discussed ¡ • Database: ¡protec/ng ¡the ¡data ¡ CS ¡4720 ¡ 9

  10. XML-­‑Aware ¡Security ¡ • Must ¡be ¡able ¡to ¡inspect ¡content ¡of ¡network ¡ traffic ¡ • Must ¡be ¡able ¡to ¡make ¡authoriza/on ¡decisions ¡ • Must ¡be ¡able ¡to ¡make ¡authen/ca/on ¡decisions ¡ • Must ¡be ¡able ¡to ¡verify ¡XML ¡as ¡valid ¡for ¡this ¡ transac/on ¡ • Must ¡also ¡deal ¡with ¡confiden/ality ¡and ¡privacy ¡ concerns ¡(encryp/on, ¡message ¡integrity, ¡audit) ¡ CS ¡4720 ¡ 10

  11. Web ¡Service ¡Security ¡Concerns ¡ • Unauthorized ¡Access: ¡people ¡view ¡info ¡that ¡ they ¡shouldn’t ¡from ¡a ¡message ¡ • Unauthorized ¡Altera/on: ¡an ¡abacker ¡modifies ¡ part ¡of ¡a ¡message ¡ • Man-­‑in-­‑the-­‑Middle: ¡an ¡abacker ¡sits ¡in-­‑between ¡ two ¡par/es ¡and ¡views ¡messages ¡(or ¡alters ¡ them) ¡as ¡they ¡pass ¡by ¡ • Denial-­‑of-­‑Service: ¡flood ¡the ¡service ¡with ¡so ¡ many ¡messages ¡that ¡it ¡can’t ¡keep ¡up ¡ CS ¡4720 ¡ 11

  12. Network ¡Level ¡Security ¡ • Let’s ¡start ¡with ¡the ¡basic ¡stuff ¡ • Firewalls ¡ – IP ¡Packet ¡Filtering ¡ • Sta/c ¡Filtering: ¡follow ¡the ¡rules ¡and ¡toss ¡whatever ¡you ¡ see ¡ • Stateful ¡Filtering: ¡allow ¡for ¡dynamically ¡changed ¡rules ¡as ¡ requests ¡go ¡out ¡from ¡inside ¡the ¡firewall ¡ – Packet ¡filtering ¡only ¡works ¡on ¡IP ¡address… ¡not ¡on ¡ the ¡people ¡using ¡the ¡IP ¡address ¡ – Further, ¡no ¡idea ¡what ¡the ¡payload ¡is ¡ CS ¡4720 ¡ 12

  13. Network ¡to ¡Applica/on ¡ • Applica/on-­‑specific ¡proxy ¡servers ¡ – A ¡connec/on ¡comes ¡in ¡to ¡the ¡proxy ¡ – It ¡verifies ¡the ¡user ¡and ¡payload ¡ – Then ¡creates ¡a ¡connec/on ¡to ¡the ¡applica/on ¡server ¡ • Disadvantages? ¡ CS ¡4720 ¡ 13

  14. Encryp/on ¡ • Without ¡going ¡too ¡deep ¡into ¡this… ¡ • There ¡are ¡three ¡basic ¡“types” ¡of ¡encryp/on ¡ methodologies ¡that ¡we ¡use ¡on ¡the ¡Internet: ¡ – Symmetric ¡ – Asymmetric ¡ – Digital ¡Signature ¡/ ¡Cer/ficate ¡ • Encryp/on ¡can ¡address: ¡authen/ca/on, ¡ confiden/ality, ¡and ¡integrity ¡of ¡a ¡message ¡ CS ¡4720 ¡ 14

  15. Applica/on ¡Level ¡Security ¡ • Refers ¡to ¡security ¡safeguards ¡built ¡into ¡a ¡ par/cular ¡applica/on ¡and ¡ operate ¡ independently ¡from ¡the ¡network ¡level ¡security ¡ • Authen/ca/on ¡ • Authoriza/on ¡ • Integrity ¡/ ¡Confiden/ality ¡ • Non-­‑repudia/on ¡/ ¡Audi/ng ¡ CS ¡4720 ¡ 15

  16. Authen/ca/on ¡ • Verifying ¡that ¡the ¡requester ¡is ¡the ¡requester… ¡ • … ¡and ¡that ¡the ¡service ¡is ¡the ¡service ¡ • This ¡requires ¡a ¡mechanism ¡of ¡“proof ¡of ¡ iden/ty” ¡ • What ¡are ¡some ¡ways ¡accomplish ¡this? ¡ • Username ¡/ ¡password ¡ • Signed ¡Cer/ficates ¡ • Kerberos ¡ CS ¡4720 ¡ 16

  17. Kerberos ¡ • A ¡third ¡party ¡system ¡for ¡authen/ca/on ¡and ¡ encryp/on ¡ • What ¡was ¡Kerberos? ¡ CS ¡4720 ¡ 17

  18. A ¡lible ¡closer ¡to ¡home ¡ ¡ • Netbadge ¡(or ¡more ¡ accurately, ¡ PubCookie) ¡ • hbp:// www.pubcookie.org/ docs/how-­‑ pubcookie-­‑ works.html ¡ CS ¡4720 ¡ 18

  19. Authoriza/on ¡ • Now ¡that ¡we ¡know ¡who ¡you ¡are, ¡what ¡are ¡you ¡ allowed ¡to ¡do? ¡ • Permissions ¡ • Role-­‑based ¡security ¡ • How ¡does ¡this ¡work ¡in ¡a ¡database ¡system? ¡ • How ¡about ¡an ¡opera/ng ¡system? ¡ CS ¡4720 ¡ 19

  20. Integrity ¡/ ¡Confiden/ality ¡ • What ¡happens ¡if ¡a ¡message ¡is: ¡ – Captured ¡and ¡reused? ¡ – Captured ¡and ¡modified? ¡ – Monitored ¡as ¡is ¡passes ¡by ¡in ¡a ¡passive ¡manner? ¡ • How ¡do ¡we ¡verify ¡a ¡message ¡hasn’t ¡been ¡ tampered ¡with? ¡ – Digital ¡signature ¡ • How ¡do ¡we ¡verify ¡it ¡hasn’t ¡been ¡viewed? ¡ – Encryp/on ¡ CS ¡4720 ¡ 20

  21. Non-­‑repudia/on ¡/ ¡Audi/ng ¡ • When ¡we’re ¡charging ¡to ¡use ¡a ¡web ¡service, ¡ how ¡do ¡we ¡prove ¡you ¡used ¡the ¡service ¡so ¡we ¡ can ¡charge ¡you? ¡ • How ¡do ¡we ¡track ¡your ¡ac/vi/es? ¡ • Digitally ¡signed ¡logs, ¡effec/vely ¡ • Also ¡saves ¡the ¡cer/ficate ¡used ¡to ¡perform ¡the ¡ transac/on ¡(like ¡a ¡signature ¡on ¡a ¡receipt) ¡ CS ¡4720 ¡ 21

  22. What ¡did ¡this ¡cover? ¡ • Authen/ca/on: ¡ – Cer/ficate ¡authority ¡can ¡vouch ¡for ¡sender ¡ – Username ¡and ¡Password ¡are ¡part ¡of ¡WS-­‑Security ¡ – Public/Private ¡key ¡pair ¡ • Integrity/Confiden/ality: ¡ – Signatures ¡ – Encryp/on ¡ – All ¡the ¡good ¡stuff ¡ ¡ CS ¡4720 ¡ 22

  23. Authoriza/on? ¡ • Doesn’t ¡take ¡place ¡at ¡this ¡“transfer” ¡level ¡ • More ¡with ¡user ¡groups ¡in ¡the ¡applica/on ¡ • Database ¡users ¡ • File ¡system ¡permissions ¡ • Have ¡a ¡good ¡role-­‑based ¡security ¡policy ¡ – People ¡only ¡have ¡access ¡to ¡just ¡enough ¡info ¡and ¡ nothing ¡more ¡ – Nothing ¡runs ¡as ¡root ¡ – Privileges ¡are ¡given ¡out ¡in ¡a ¡very ¡specific ¡fashion ¡ CS ¡4720 ¡ 23

  24. Non-­‑repudia/on? ¡ • Either ¡done ¡through ¡text ¡logs ¡or ¡a ¡DB ¡table ¡ with ¡transac/ons ¡ – Probably ¡a ¡DB ¡table ¡would ¡be ¡beber ¡ • Record ¡the ¡signature ¡and ¡important ¡ac/vi/es ¡ that ¡the ¡user ¡performed ¡ CS ¡4720 ¡ 24

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

Network security Network security Foundations: what is security? cryptography Network Security Network Security authentication message integrity key distribution and certification Security in practice: Srinidhi Varadarajan

332 views • 6 slides
Security Security as term, Possible Security violations Authentication Criteria for

Security Security as term, Possible Security violations Authentication Criteria for

BS1 WS19/20 topic-based slides Security Security as term, Possible Security violations Authentication Criteria for Trust in Computer Systems Three hearts of Windows Security DACLs A Look at Security System is secure if

988 views • 20 slides
CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC 410 / 611 : Operating Systems CPSC410/611: Security Security Security Attacks Security Threats Crypto Authentication Examples SSL Security Threats Breach of confidentiality unauthorized access to

458 views • 18 slides
Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security WS 06/07 Seminar Prof. Dr.-Ing. Jana Dittmann & Dr.-Ing. Claus Vielhauer with support from Tobias Scheidat

419 views • 16 slides
1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

Course Overview Course Requirements EECS 498-7/8 Cryptography and Network Security: www.citi.umich.edu/u/honey/security Principles and Practice (Third Edition) Computer Security Monday & Friday, 9:00 10:30 William Stallings

670 views • 19 slides
A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security Introducing Spring Security View layer security Whats coming in Spring Security 3 E-mail: craig@habuma.com Blog: http://www.springloaded.info

452 views • 19 slides
Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security Foundations: what is security? cryptography authentication message integrity key distribution and certification Security in practice:

634 views • 36 slides
Security Overview Security Goals The Attack Space Security Mechanisms

Security Overview Security Goals The Attack Space Security Mechanisms

CSCE Intro to Computer Systems Security Security Overview Security Goals The Attack Space Security Mechanisms Introduction to Cryptography Authentication Authorization Confidentiality Case Studies Security

472 views • 20 slides
SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY

SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY

SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY TESTING CONCEPTS 3. SECURITY TESTING TYPES 4. TOP 10 SECURITY RISKS Few Security Breaches Date: 2013-14 September 2016, while in negotiations to

404 views • 18 slides
Security Security with Distributed Systems Why Security? The need for security mechanisms in

Security Security with Distributed Systems Why Security? The need for security mechanisms in

Security Security with Distributed Systems Why Security? The need for security mechanisms in distributed systems arises from the desire to share resources Resources must be protected against unauthorized access, as enemies (attackers)

1.16k views • 67 slides
Security Overview Security Goals The Attack Space Security Mechanisms

Security Overview Security Goals The Attack Space Security Mechanisms

CPSC 410/611 Operating Systems Security Security Overview Security Goals The Attack Space Security Mechanisms Introduction to Cryptography Authentication Authorization Confidentiality Case Studies

419 views • 19 slides
International and Global Security 1 Peer Discussion What is security? 2 International

International and Global Security 1 Peer Discussion What is security? 2 International

International and Global Security 1 Peer Discussion What is security? 2 International Security What is security? Freedom from threats to core values? Contestation over referent object: Individual? State? System? How is security achieved?

715 views • 11 slides
Security 101 Definition of Information Security Information security is the protection of

Security 101 Definition of Information Security Information security is the protection of

Computing Services Information Security Office Security 101 Definition of Information Security Information security is the protection of information and systems from unauthorized access, disclosure, modification, destruction or disruption. The

469 views • 22 slides
Security Update Security Plans Our Security plans are For Official Use Only, Safety

Security Update Security Plans Our Security plans are For Official Use Only, Safety

Security Update Security Plans Our Security plans are For Official Use Only, Safety Sensitive Information Not for public or media release F.S. 119.071. Required by law, rule and regulation: Homeland Security Directive 5 and 8.

393 views • 11 slides
Com puter Security Part One Security as a subject Security is an old problem in the

Com puter Security Part One Security as a subject Security is an old problem in the

Com puter Security Part One Security as a subject Security is an old problem in the computing world, and are parallel to even older problems outside computing Required level of security is always related to what you protect

237 views • 23 slides
Introduction to Security Comm. Security Strategy Summary ITS335: IT Security Sirindhorn

Introduction to Security Comm. Security Strategy Summary ITS335: IT Security Sirindhorn

ITS335 Intro. to Security Concepts Threats, Attacks, Assets Introduction to Security Comm. Security Strategy Summary ITS335: IT Security Sirindhorn International Institute of Technology Thammasat University Prepared by Steven Gordon on 2

965 views • 34 slides
Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple

Firewalls 1 Outline What are firewalls? Types of Firewalls Building a simple firewall using Netfilter Iptables firewall in Linux Stateful Firewall Application Firewall Evading Firewalls 2 Firewalls

811 views • 55 slides
Composition of SDN applications: Options/challenges for real implementations Arne Schwabe Pedro

Composition of SDN applications: Options/challenges for real implementations Arne Schwabe Pedro

Composition of SDN applications: Options/challenges for real implementations Arne Schwabe Pedro A. Aranda Gutirrez Holger Karl Computer Networks Group Universitt Paderborn Modernizing the setup Simple standard network setup

409 views • 21 slides
Firewalls Chester Rebeiro IIT Madras Some of the slides borrowed from the book Computer

Firewalls Chester Rebeiro IIT Madras Some of the slides borrowed from the book Computer

Firewalls Chester Rebeiro IIT Madras Some of the slides borrowed from the book Computer Security: A Hands on Approach by Wenliang Du Firewall Block unauthorized traffic flowing from one network to another Separate trusted and

898 views • 58 slides
GASPP: A GPU-Accelerated Stateful Packet Processing Framework

GASPP: A GPU-Accelerated Stateful Packet Processing Framework

GASPP: A GPU-Accelerated Stateful Packet Processing Framework Giorgos Vasiliadis, FORTH-ICS, Greece Lazaros Koromilas, FORTH-ICS, Greece Michalis Polychronakis,

949 views • 56 slides
Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the

Class Session 4 Firewalls Exercise 1 You are asked to design the firewall policy for the following network. Note that these are stateful , bidirectional firewalls . The only flags you need to worry about are SYN and SYN-ACK. The following

415 views • 3 slides
Using Modular Arithmetic to Reliably Encode Authentication Information Within Messages Consisting

Using Modular Arithmetic to Reliably Encode Authentication Information Within Messages Consisting

Using Modular Arithmetic to Reliably Encode Authentication Information Within Messages Consisting of Port Connection Sequences Patrick F. Wilbur - wilburpf@clarkson.edu Department of Mathematics & Computer Science, Clarkson University

229 views • 9 slides
Firewall Builder Vadim Kurland vadim@fwbuilder.org http://www.fwbuilder.org Challenges of

Firewall Builder Vadim Kurland vadim@fwbuilder.org http://www.fwbuilder.org Challenges of

Firewall Builder Vadim Kurland vadim@fwbuilder.org http://www.fwbuilder.org Challenges of firewall configuration complexity leads to errors coordinated changes on many devices are hard multi-vendor environments make the job even

314 views • 28 slides
How to Hack Millions of Routers Craig Heffner Administrivia My overarching objective with

How to Hack Millions of Routers Craig Heffner Administrivia My overarching objective with

How to Hack Millions of Routers Craig Heffner Administrivia My overarching objective with this talk is to increase security awareness and serve as a catalyst for positive change I developed this paper and the conclusions reached and the

913 views • 89 slides

More recommend