9 resultados para IPSec
Resumo:
Network-based Intrusion Detection Systems (NIDSs) analyse network traffic to detect instances of malicious activity. Typically, this is only possible when the network traffic is accessible for analysis. With the growing use of Virtual Private Networks (VPNs) that encrypt network traffic, the NIDS can no longer access this crucial audit data. In this paper, we present an implementation and evaluation of our approach proposed in Goh et al. (2009). It is based on Shamir's secret-sharing scheme and allows a NIDS to function normally in a VPN without any modifications and without compromising the confidentiality afforded by the VPN.
Resumo:
Network-based Intrusion Detection Systems (NIDSs) monitor network traffic for signs of malicious activities that have the potential to disrupt entire network infrastructures and services. NIDS can only operate when the network traffic is available and can be extracted for analysis. However, with the growing use of encrypted networks such as Virtual Private Networks (VPNs) that encrypt and conceal network traffic, a traditional NIDS can no longer access network traffic for analysis. The goal of this research is to address this problem by proposing a detection framework that allows a commercial off-the-shelf NIDS to function normally in a VPN without any modification. One of the features of the proposed framework is that it does not compromise on the confidentiality afforded by the VPN. Our work uses a combination of Shamir’s secret-sharing scheme and randomised network proxies to securely route network traffic to the NIDS for analysis. The detection framework is effective against two general classes of attacks – attacks targeted at the network hosts or attacks targeted at framework itself. We implement the detection framework as a prototype program and evaluate it. Our evaluation shows that the framework does indeed detect these classes of attacks and does not introduce any additional false positives. Despite the increase in network overhead in doing so, the proposed detection framework is able to consistently detect intrusions through encrypted networks.
Resumo:
While enhanced cybersecurity options, mainly based around cryptographic functions, are needed overall speed and performance of a healthcare network may take priority in many circumstances. As such the overall security and performance metrics of those cryptographic functions in their embedded context needs to be understood. Understanding those metrics has been the main aim of this research activity. This research reports on an implementation of one network security technology, Internet Protocol Security (IPSec), to assess security performance. This research simulates sensitive healthcare information being transferred over networks, and then measures data delivery times with selected security parameters for various communication scenarios on Linux-based and Windows-based systems. Based on our test results, this research has revealed a number of network security metrics that need to be considered when designing and managing network security for healthcare-specific or non-healthcare-specific systems from security, performance and manageability perspectives. This research proposes practical recommendations based on the test results for the effective selection of network security controls to achieve an appropriate balance between network security and performance
Resumo:
Unified communications as a service (UCaaS) can be regarded as a cost-effective model for on-demand delivery of unified communications services in the cloud. However, addressing security concerns has been seen as the biggest challenge to the adoption of IT services in the cloud. This study set up a cloud system via VMware suite to emulate hosting unified communications (UC), the integration of two or more real time communication systems, services in the cloud in a laboratory environment. An Internet Protocol Security (IPSec) gateway was also set up to support network-level security for UCaaS against possible security exposures. This study was aimed at analysis of an implementation of UCaaS over IPSec and evaluation of the latency of encrypted UC traffic while protecting that traffic. Our test results show no latency while IPSec is implemented with a G.711 audio codec. However, the performance of the G.722 audio codec with an IPSec implementation affects the overall performance of the UC server. These results give technical advice and guidance to those involved in security controls in UC security on premises as well as in the cloud.
Resumo:
随着互联网的高速发展,人们的许多行为由现实生活中转移到了互联网世界,比如电子商务、网上银行、电子政务等。当前互联网上的许多安全敏感的客户端-服务端应用都使用SSL/TLS或IPSec来建立安全信道,以保护客户端与服务端之间的通信。这些协议实现了客户端与服务端之间的双向认证和数据的安全传输。但是,使用SSL/TLS或IPSec建立的安全信道并没有确保终端本身的安全性。可信计算(TrustedComputing)中的远程证明机制可用于证明终端本身的完整性和可靠性,但不能直接提供安全信道。 可信信道是在安全信道的基础上,利用TPM的远程证明技术,将终端的完整性密码地绑定到安全信道,并且保护双方终端配置的隐私性。因此,研究可信信道技术对互联网安全有着重要的意义,有助于解决网络安全中的基本信任问题,以及互联网数字服务的安全问题等。目前,国内外已有一些可信信道的设计方案,大体分为两类:(1)将基于证书的SSL/TLS与TPM远程证明相结合以建立可信信道;(2)将Diffie-Hellman密钥交换协议和TPM远程证明相结合以建立可信信道。基于口令的认证密钥交换协议(PAKE)是实现安全信道的另一种有趣的技术,因为其具有易于记忆、使用方便、不需额外的密码设备来存储高熵的密钥。 然而,将PAKE与TPM远程证明结合以建立可信信道的研究工作很少。 本文主要从可信信道的安全需求出发,分析已有的两类可信信道设计方案的安全性,指出已有的方案容易遭受一种新的合谋攻击。针对上述合谋攻击和传统的中间人攻击,我们利用口令认证密钥交换协议,提出了一种新的协议来建立基于口令的可信信道。我们的方案不同于基于证书的可信信道实现方法,使用了一种新的绑定方法来抵抗上述攻击。同时,我们还将该方法应用到已有的基于证书SSL和TPM远程证明的可信信道方案中。 另外,考虑到电子商务、电子政务等安全应用中用户对匿名性的需求,而现有的可信信道方案未曾考虑到用户的匿名性,本文引入了匿名可信信道的概念,并提出了匿名可信信道的设计方法,给出了一个具体的协议用以建立匿名可信信道, 并证明了该协议满足匿名可信信道的安全需求。
Resumo:
Dissertação de mestrado, Engenharia Informática, Faculdade de Ciências e Tecnologia, Universidade do Algarve, 2015
Resumo:
El presente proyecto de fin de carrera esta desarrollado para el explicar el estado actual de las telecomunicaciones en España. Mercado que esta en constante evolución tecnológica y que se ha pasado inicialmente medir por la tasa de penetración de líneas vocales en un país a pasar de hablar de indicadores como la voz IP, descarga de contenidos, uso de los dispositivos ya que el contenido de lo que las redes transporta es donde puede estar el negocio para los operadores.El proyecto de fin de carrera a groso modo está distribuido en dos partes. La primera parte del proyecto, esta enfocado de una manera teórica haciendo una análisis del mercado actual de las telecomunicaciones. Para ello se realiza un primer estudio de los mercados de telecomunicaciones a nivel europeo y en España. Se analiza el sector de las TIC haciendo un repaso por los datos claves obtenidos en el último año y que han sido influenciados por la crisis mundial que vivimos en la actualidad. Detalles de la evolución de los servicios, infraestructuras de nueva generación desplegadas, inversiones y gastos de los operadores así como la cuota de servicio de los mismos. Regulaciones recientes e iniciativas como la Agenda Electrónica Digital para impulsar el crecimiento de la Sociedad de la Información. Investigación sobre la adopción y uso cotidiano de las nuevas tecnologías y dispositivos que hacen los ciudadanos que permiten mejoran nuestras vidas, la productividad de la economía y que será de devenir de las tendencias futuras hacia las que se moverá el mercado. Adicionalmente se plantea cuestiones sobre las tendencias de futuro de las redes de telecomunicaciones, analizando la previsión del volumen de datos creciente a transportar, los mecanismos para aumentar la capacidad, flexibilidad y eficiencia de las redes mediante técnicas como la virtualizacion (SDN).Debido a la experiencia profesional adquirida trabajando en un ISP como es Telefonica de España administrando sus redes y servicios a grandes empresas, profundizare con detalle técnico en estudiar y mostrar como estan montadas sus infraestructuras de red (Red IP Única, NGN, Multiservicio/UNO,…) , los diferentes tipos de accesos a las redes incluyendo los de nueva generación (FTTH) así como el catalogo de servicios ofertados (Macrolan, VPN-IP, Ibercom IP…), principalmente basados RPVs y sus facilidades asociadas sobre las mencionadas redes para las grandes empresas, PYMES y residencial que les permite la comunicación nacional o internacional entre las diferentes emplazamientos de sus oficinas con sus sedes centrales. La segunda parte de este proyecto se describe la implementación de un caso práctico real tanto en tema de configuración y montaje de equipamientos empleados (router,antena 3G…) de una oficina móvil basado en el servicio vpn-ip de Telefonica con acceso móvil 3G que se encuentra en el actual portfolio de sus productos que se explico en teóricamente en la primera parte del proyecto y que tiene conectividad con la red IP Única de la RPV del cliente Caja de Seguros Reunidos (CASER) la cual que nos permitirá conectarnos remotamente a un servidor de monitorización de su intranet ubicada en su sede central de Madrid que muestreara el trafico que se esta cursado por los interfaces del router de la oficina móvil. En la configuración del router se empleara diferentes métodos de conectividad como túneles GRE para la conectividad con los equipos de la red IP Única, LT2P y PPP para el acceso a la red móvil y se dotara de mayor seguridad al trafico cursado por la oficina Mobil empleando túneles IPSEC para la encriptación y cifrado de los datos para evitar que el trafico que va en claro por la red móvil si es interceptado por un tercero no sea capaz de analizarlo y descifrarlo y no se vea afectada la privacidad de la información que estamos transmitiendo.
