SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd



Podobne dokumenty
Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

SSL (Secure Socket Layer)

Zastosowania informatyki w gospodarce Wykład 8

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

ZiMSK. Konsola, TELNET, SSH 1

Podstawy Secure Sockets Layer

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Laboratorium nr 6 VPN i PKI

Laboratorium nr 4 Sieci VPN

Zdalne logowanie do serwerów

Laboratorium nr 5 Sieci VPN

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

APACHE SSL Linux. Użycie certyfikatów niekwalifikowanych w oprogramowaniu APACHE SSL Linux. wersja 1.5

APACHE SSL Linux. Użycie certyfikatów niekwalifikowanych w oprogramowaniu APACHE SSL Linux. wersja 1.8

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Bezpieczeństwo systemów informatycznych

APACHE SSL Linux. Użycie certyfikatów niekwalifikowanych w oprogramowaniu APACHE SSL Linux. wersja 1.7

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 11

# katalog, w który zapisywane są certyfikaty crl_dir=$dir/crl

APACHE SSL Linux Użycie certyfikatów niekwalifikowanych w oprogramowaniu APACHE SSL Linux wersja 1.4 UNIZETO TECHNOLOGIES S.A.

WHEEL LYNX SSL/TLS DECRYPTOR. najszybszy deszyfrator ruchu SSL/TLS

APACHE SSL Linux. UŜycie certyfikatów niekwalifikowanych w oprogramowaniu APACHE SSL Linux. wersja 1.3 UNIZETO TECHNOLOGIES S.A.

Bezpieczeństwo systemów informatycznych

Łukasz Przywarty Wrocław, r. Grupa: WT/N 11:15-14:00. Sprawozdanie z zajęć laboratoryjnych: OpenSSL

Sieci VPN SSL czy IPSec?

Praktyczne aspekty wykorzystania nowoczesnej kryptografii. Wojciech A. Koszek

POSTFIX (SMTP) + POP3 + SSL. Użycie certyfikatów niekwalifikowanych w oprogramowaniu POSTFIX. wersja 1.4

Stos TCP/IP. Warstwa aplikacji cz.2

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 13

Protokół SSH. Patryk Czarnik

Zastosowania informatyki w gospodarce Wykład 5

SET (Secure Electronic Transaction)

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Bezpieczne protokoły Materiały pomocnicze do wykładu

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Bringing privacy back

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Win Admin Monitor Instrukcja Obsługi

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Authenticated Encryption

IPsec bezpieczeństwo sieci komputerowych

Zastosowania PKI dla wirtualnych sieci prywatnych

Bezpieczeństwo systemów komputerowych

TelCOMM Wymagania. Opracował: Piotr Owsianko Zatwierdził: IMIĘ I NAZWISKO

Protokoły zdalnego logowania Telnet i SSH

Ochrona danych i bezpieczeństwo informacji

Protokół SSH. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

PureFTPd Użycie certyfikatów niekwalifikowanych w oprogramowaniupureftpd. wersja 1.3

OpenSSL - CA. Kamil Bartocha November 28, Tworzenie CA przy użyciu OpenSSL

MODEL WARSTWOWY PROTOKOŁY TCP/IP

VSFTPd Użycie certyfikatów niekwalifikowanych w oprogramowaniuvsftpd. wersja 1.3 UNIZETO TECHNOLOGIES SA

Wykład 9. Bezpieczeństwo systemów komputerowych. Protokoły SSL i TLS. Scentralizowane systemy uwierzytelniania. 5 listopada 2013

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Tworzenie połączeń VPN.

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

WSIZ Copernicus we Wrocławiu

Protokół HTTPS. Adam Danecki Informatyka gr. 1.4

Bezpieczeństwo usług oraz informacje o certyfikatach

Wykorzystanie protokołu T=CL w systemach kontroli dostępu

Technologia Internetowa w organizacji giełdy przemysłowej

SENDMAIL (SMTP) + POP3 + SSL Użycie certyfikatów niekwalifikowanych w oprogramowaniu Sendmail. wersja 1.2 UNIZETO TECHNOLOGIES SA

SMB protokół udostępniania plików i drukarek

Metody zabezpieczania transmisji w sieci Ethernet

Bazy danych i usługi sieciowe

Protokół IPsec. Patryk Czarnik

Wprowadzenie do technologii VPN

BeamYourScreen Bezpieczeństwo

Marcin Szeliga Sieć

ERserver. iseries. Protokół SSL (Secure Sockets Layer)

Bezpieczeństwo w sieci lokalnej - prezentacja na potrzeby Systemów operacyjnych

Strategia gospodarki elektronicznej

Instrukcja konfiguracji funkcji skanowania

Portal SRG BFG. Instrukcja korzystania z Portalu SRG BFG

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Sieci wirtualne VLAN cz. I

CEPiK 2 dostęp VPN v.1.7

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Dokumentacja SMS przez FTP

Public Key Infrastructure (PKI) Krzysztof Boryczko Remigiusz Górecki

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 10

Bezpieczeństwo systemów komputerowych.

Warsztaty z Sieci komputerowych Lista 7

Usługi sieciowe systemu Linux

Sieci komputerowe i bazy danych

Bezpieczeństwo systemów informatycznych

Laboratorium nr 1 Szyfrowanie i kontrola integralności

Transkrypt:

SSL VPN Virtual Private Network with Secure Socket Layer Wirtualne sieci prywatne z bezpieczną warstwą gniazd Autorem niniejszej prezentacji jest Paweł Janicki @ 2007

SSL The Secure Socket Layer Protokół SSL stanowi warstwę, która może zostać umieszczona pomiędzy warstwą niezawodnego i zorientowanego połączeniowo protokołu (np. TCP) i warstwą protokołu aplikacji (np. HTTP). SSL zapewnia bezpieczną komunikację pomiędzy klientem i serwerem poprzez umożliwienie wzajemnego uwierzytelnienia, użycie cyfrowego podpisu do kontroli integralności i szyfrowania dla poufności. Protokół jest zaprojektowany do wsparcia zakresu specyficznych algorytmów używanych do kryptografii, skrótów i podpisów. Wybór jest negocjowany pomiędzy klientem a serwerem podczas rozpoczynania sesji protokołu. Wersja Źródło Opis Wsparcie przeglądarek SSL v2.0 Standard dostawcy Pierwszy protokół SSL o istniejących implementacjach -NS Navigator 1.x/2.x - MS IE 3.x - Lynx/2.8 + OpenSSL SSL v3.0 Wygasły szkic standardu Internetu Dokonany przegląd w celu zapobieżenia specyficznym atakom na bezpieczeństwo, dodane szyfry inne niż RSA, wsparcie dla łańcuchów certyfikatów -NS Navigator 2.x/3.x/4.x -MS IE 3.x/4.x -Lynx/2.8 + OpenSLL TLS v1.0 Zaproponowany standard Internetu Przegląd SSL 3.0 uaktualniający warstwę MAC do HMAC, więcej alertów,... - Lynx/2.8+OpenSSL

SSL The Secure Socket Layer Sesja SSL jest ustanawiana poprzez nastąpienie sekwencji powitania pomiędzy klientem i serwerem. Przebieg sekwencji jest zależny od tego czy serwer jest skonfigurowany do udostępnienia certyfikatu serwera lub żądania certyfikatu klienta. Raz rozpoczęta sesja SSL może być ponownie wykorzystana jako że serwer przypisuje jej unikalny identyfikator, który jest buforowany i mogący być użyty ponownie przez klienta w celu zmniejszenia czasu na powitanie. WitajKlienta WitajSerwera Ustalić wersję protokołów, id sesji, zestaw szyfrów, metodę kompresji. Wymiana wartości losowych Certyfikat ŻądanieCertyfikatu SkończoneWitajSerwera Opcjonalne wysłanie certyfikatu serwera i żądanie certyfikatu klienta Certyfikat VeryfikacjaCertyfikatu Jeśli konieczne nadanie odpowiedzi w postaci certyfikatu klienta. ZmianaParametrówSzyfrowania Skończone ZmianaParemetrówSzyfrowania Skończone Zmiana zestawu szyfrów i skończenie powitania klient serwer Ilustracja 1: Sekwencja powitania

SSL The Secure Socket Layer Zestaw szyfrów jest zdefiniowany przez następujące komponenty: Metodę wymiany kluczy, Szyfr transferowanych danych, Algorytm skrótu wiadomości. Metoda wymiany kluczy definiuje w jaki sposób zostanie uzgodniony współdzielony przez klienta i serwer tajny klucz kryptografii symetrycznej używanej do transferu danych aplikacji. SSL 3.0 wspiera wymianę przy użyciu algorytmów RSA (gdy używane są certyfikaty) i Diffie- Hellman (do wymiany kluczy bez certyfikatów). Jedyną zmienną w metodzie wymiany kluczy jest użycie lub nie cyfrowych podpisów. Podpis kluczem prywatnym zapewnia ochronę przed atakiem typu człowiek w środku podczas wymiany informacji użytej do generacji klucza dzielonego. SSL stosuje konwencjonalną symetryczną kryptografię do szyfrowania wiadomości przesyłanych w sesji. Istnieje dziewięć wyborów sposobu szyfrowania: Brak szyfrowania Szyfry strumieniowe: RC4 klucz 40b lub 128b Szyfry blokowe CBC: RC2 klucz 40b, DES klucz 40b, DES klucz 56b, Fortezza klucz 96b, Idea klucz 128b, Triple-DES klucz 168b. ) CBC Cipher Block Chaining porcja poprzedniego szyfrogramu jest używana do szyfrowania nastepnego bloku. ) Idea jeden z najlepszych i najsilniejszych dostępnych algorytmów.

SSL Virtual Private Network with Secure Socket Layer Skrót wiadomości jest używany do wytworzenia MAC szyfrowanego wraz z wiadomością w celu kontroli integralności i ochrony przed atakami typu ponowienie. Wybór funkcji skrótu determinuje w jaki sposób generowany jest skrót. SSL wspiera następujące: Brak skrótu, MD5, skrót 128b, Secure Hash Algorithm (SHA-1), skrót 160b. Sekwencji powitania stosuje trzy protokoły: SSL Handshake do rozpoczęcia sesji pomiędzy klientem a serwerem SSL Change Cipher Spec Protocol do zatwierdzenia obecnego zestawu szyfrów. SSL Alert Protocol do przekazywania wiadomości o błędach pomiędzy klientem i serwerem

SSL The Secure Socket Layer Protokoły wraz z danymi aplikacji są kapsułkowane w SSL Record Protocol. Kapsułka protokołu jest przesyłana jako dane protokołu warstwy niższej, który nie analizuje danych. SSL HandshakeP rotocol SSL Change Cipher Spec SSL Alert Protocol HTTP Telnet... SSL Record Protocol TCP IP Ilustracja 2: Stos protokołów SSL Kapsułkowanie protokołów sterujących SSL poprzez SSL Record Protocol oznacza to, że jeśli aktywna sesja jest renegocjowana protokoły sterujące będą przesyłane bezpiecznie. Jeśli nie ma poprzedniej sesji stosowany jest pusty zestaw szyfrów, co oznacza brak szyfrowania, wiadomości nie będą posiadały skrótów, aż do ustanowienia sesji.

SSL The Secure Socket Layer Transmisja danych SSL Record Protocol jest stosowany do przesyłania danych aplikacji i sterujących SSL pomiędzy klientem i serwerem, gdzie konieczne dzielenie tych danych do mniejszych jednostek lub łączenie wielu wiadomości z protokołów warstw wyższych do pojedynczych jednostek. Może dokonać kompresji, dołączyć sygnatury w postaci skrótów i zaszyfrować te jednostki przed wysłaniem poprzez niezawodny protokół transportowy warstwy niższej. (Notka: Współczesne ważniejsze implementacje SSL nie wspierają kompresji.) Dane aplikacji abcdefghi Fragmentacja / Scalanie Jednostki SSL Record Protocol abc def ghi Kompresja Jednostka skompresowana MAC Szyfrowanie Szyfrogram Transmisja Pakiet TCP Ilustracja 3: SSL Record Protocol

SSL VPN Virtual Private Network with Secure Socket Layer Określenie SSL VPN jest używanie w odniesieniu do kategorii produktów łączących różne technologie. VPN czyli wirtualna siec prywatna odnosi się do praktyki używania sieci publicznej jak np.. Internet do transmisji danych prywatnych. Do końca 2001 roku większość IT nie dodawała określnika dla VPN ponieważ praktycznie wszystkie dostępne w tym czasie VPN używały jakiegoś rodzaju transportu po warstwie sieci. Przykłady aplikacji: Microsoft Outlook Web Access, Lotus inotes. Przykłady przypadków użycia: Dostęp do telepracowników, który potrzebują aplikacji opartych na Web, Dostęp do określonych plików/url dla partnerów i klientów, Dostęp do specyficznych plików/url dla użytkowników. Bankowość elektroniczna Usługi terminalowe

SSL HTTPS Hyper Text Transport Secure by Secure Socket Layer Instalacja i uruchomienie serwera Apache SSL HTTPS w środowisku Win32. Potrzebne pakiety instalacyjne: apache_2.2.3-win32-x86-no_ssl.msi Apache_2.2.3-Openssl_0.9.8d-Win32.zip Win32OpenSSL-0_9_8d.exe Instalacja: 9. Uruchomić instalator serwera HTTP Apache.msi i zainstalować pakiet w katalogu C:\apache. 10. Rozpakować wszystkie pliki archiwum.zip do C:\apache zastępując już istniejące 11. Zainstalować pakiet OpenSSL w katalogu C:\OpenSSL

SSL HTTPS Hyper Text Transport Secure by Secure Socket Layer Generacja podpisanego przez siebie certyfikatu. 2. Utworzenie klucza prywatnego C:\OpenSSL\bin> openssl genrsa des3 rand file1:file2:file3 out server.key 1024 file1, file 2... Są skompresowanymi plikami z losowanymi danymi. Ich użycie jest opcjonalne. Podczas generacji klucza będzie trzeba podać frazę hasła. Należy użyć prostego ciągu znaków. 2. Usunięcie frazy hasła z klucza prywatnego C:\OpenSSL\bin> openssl rsa in server.key out server.pem C:\OpenSSL\bin> del server.key 3. Utworzenie żądania podpisu certyfikatu C:\OpenSSL\bin> openssl req new key server.pem out server.csr WAŻNE: W polu Common Name podać nazwę domenową serwera np. www.server.com 4. Podpisanie certyfikatu. W celach testowych istnieje możliwość samodzielnego podpisania wygenerowanego certyfikatu. W przypadku produkcyjnym należy zgłosić się do CA. C:\OpenSSL\bin> openssl x509 req days 60 in server.csr signkey server.pem out server.crt

SSL HTTPS Hyper Text Transport Secure by Secure Socket Layer Instalacja certyfikatu i konfiguracja serwera. C:\OpenSSL\bin> copy server.crt C:\apache\conf C:\OpenSSL\bin> copy server.pem C:\apache\conf\server.key C:\OpenSSL\bin> del server.* Należy dokonać edycji pliku C:\apache\conf\httpd.conf. Usunąć znak hasz # z linii: #LoadModule ssl_module modules/mod_ssl.so Dodać wpis: listen 443 <VirtualHost _default_:443> DocumentRoot "C:/apache/htdocs" ServerName www.somenet.com:443 ServerAdmin admin@mail.server.pl ErrorLog "C:/apache/logs/error_log" TransferLog "C:/apache/logs/access_log" SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile "C:/apache/conf/server.crt" SSLCertificateKeyFile "C:/apache/conf/server.key" </VirtualHost>

SSL HTTPS Hyper Text Transport Secure by Secure Socket Layer

SSL HTTPS Hyper Text Transport Secure by Secure Socket Layer Bibliografia: Steven Taylor SSL VPNs: The Secure Access Landscape http://www.juniper.net/solutions/literature/white_papers/tech_ssl.pdf Apache HTTP Server Documentation: Apache SSL/TLS Encryption http://httpd.apache.org/docs/2.0/ssl/

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres