Újgenerációs adat- és hálózatbiztonsági módszerek

Vörös, Péter

Újgenerációs adat- és hálózatbiztonsági módszerek

Date: 2019

Subject: Műszaki tudományok/Informatikai tudományok
user privacy
data security
network security
DDoS
session hijacking
security middleware
software defined networking
Informatika D. I./Információs rendszerek
felhasználói adatvédelem
adatbiztonság
hálózatbiztonság
DDoS
munkamenet eltérítés

URI: http://hdl.handle.net/10831/44498

Link to Library Catalogue: https://opac.elte.hu/Record/opac-EUL01-984185

MTMT: 30938184

DOI: 10.15476/ELTE.2019.145

Abstract:

Az értekezés a szolgáltatókat és felhasználókat érintő adat- és hálózatbiztonsági problémákkal foglalkozott. Adataink védelmére kívántam felhívni a figyelmet, bemutattam több támadási módszert, kivédésükre kliens proxy és szerver oldalon is védelmi eljárásokat kínálva.
Kezdetben bemutattam az új generációs csomagtovábbítás által kínált lehetőségeket, illetve a P4-et mint magas absztrakciós szintű csomagtovábbítási logikát leíró nyelv. Ismertettem a T4P4S nevű P4 fordítónk működését, megmutattam, hogy a fordított switch program képes a hardverre optimalizált binárisokéval közel megegyező sebességű csomagtovábbításra. Ezután pedig adtam egy lehetséges módszert a P4 használatára mint állapottal rendelkező csomagszűrő tűzfal.
Megmutattam, hogyan épülnek fel az elosztott szolgáltatásmegtagadással járó (DDoS) támadások. Eljárást dolgoztam ki annak érdekében, hogy az elárasztás típusú DDoS támadások modellezhetőek legyenek. A HTTP forgalomra érvényes tulajdonságokat megtartva olyan gazdagon paraméterezhető forgalomgenerátort készítettem, amivel a behatolásdetektáló (IDS) rendszerek tesztelhetőek.
Bemutattam a munkamenet eltérítéses és a data breach támadásokat, ami előkelő helyet foglalnak el a legmagasabb prioritású fenyegetések listáján. Elemeztem a HTTP és HTTPS forgalmak veszélyeit, a munkamenet eltérítéses támadások néhány lehetséges módját, illetve felvázoltam egy one time token alapú hitelesítő működési modelljét. Megmutattam, hogy a TooKie nevű eszközöm az egyszer használható tokenekkel, hogyan tudja HTTP-n keresztül is biztonságossá tenni a munkameneteinket.
Módszereket mutattam be az egyszerű felhasználók, és a nagyobb céges hálózatok extra védelmi rétegének implementálására. Az OpenWebCrypt kliens oldali böngésző bővítménnyel elérhető egyes szolgáltatásokban tárolt felhasználói adatok elkódolása. CrypStorePI-vel pedig egy teljes hálózat válik védhetővé egy proxy elven működő security middleware használatával. Végül megmutattam, azt is hogyan használható a szteganográfia bizonyos szolgáltatások esetén arra, hogy elfedjük az adatok titkosításának tényét a támadók elől.

Abstract:

The dissertation has dealt with data- and network security issues affecting both users and service providers. I wanted to draw attention to the protection of our private data, showed the behavior of several attacking methods, and offered defensive procedures on the client-, proxy- and server-side. Initially, I introduced the capabilities of the new generation of packet forwarding. I presented P4, a language for describing high abstraction level packet forwarding logics. I have described the operation of T4P4S, our P4 compiler, showing that the compiled switch program is capable of providing nearly the same packet forwarding rate, as the hardware optimized binaries. Then I showed a possible method to use P4 as a stateful packet filter firewall. I have shown how DDoS attacks are built up. I've worked out a procedure to model the flood-type DDoS attacks. By preserving the properties that are valid for HTTP traffic, I have created a fully parameterizable traffic generator that can be used to test intrusion detection systems (IDS). I introduced the session hijacking and data breach attacks, two of the 12 highest priority threats. I've analyzed the dangers of HTTP and HTTPS traffic, some possible ways to hijack sessions, and I outlined a one-time token-based authentication operating model. I have shown that my script called TooKie with single-use one-time tokens can help to secure user sessions, even through HTTP. I have presented methods to implement an extra layer of protection for simple users and larger corporate networks. The OpenWebCrypt client-side browser extension can encode user data stored in public online services. And with CrypStorePI, a complete network can be protected by using a proxy-based security middleware. Finally, I have shown how steganography can be used for certain services to not just encode private data, but to conceal the very existence of the encoding.

Show full item record