Bezpieczne protokoły Materiały pomocnicze do wykładu

Podobne dokumenty
Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczne protokoły Główne zagadnienia wykładu

IPsec bezpieczeństwo sieci komputerowych

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Bezpieczeństwo systemów komputerowych

Protokół IPsec. Patryk Czarnik

ZiMSK. Konsola, TELNET, SSH 1

Marcin Szeliga Sieć

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Bezpieczeństwo Systemów Sieciowych

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

tdc 477 Wirtualne sieci prywatne

8. Tunele wirtualne VPN

Podstawy Secure Sockets Layer

SSL (Secure Socket Layer)

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Zdalne logowanie do serwerów

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Bezpieczeństwo WWW. Plan prezentacji. WWW a protokoły TCP/IP; URL. Czym jest WWW?

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Bezpieczeństwo systemów informatycznych

Sieci wirtualne VLAN cz. I

Problemy z bezpieczeństwem w sieci lokalnej

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

IPSEC z Mikrotik zero to hero Piotr Wasyk

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Bazy danych i usługi sieciowe

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

SIP: Session Initiation Protocol. Krzysztof Kryniecki 16 marca 2010

Protokoły sterujące i warstwy aplikacji. Protokół kontrolny ICMP Internet Control Message Protocol Protokoły inicjowania i konfiguracji hostów

Stos TCP/IP. Warstwa aplikacji cz.2

Konfiguracja aplikacji ZyXEL Remote Security Client:

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd

Ochrona danych i bezpieczeństwo informacji

Bezpieczeństwo sieci informatycznych Środki. Dr inż. Małgorzata Langer

Programowanie w Internecie

Korporacyjne Sieci Bez Granic Corporate Borderless Networks

Mechanizmy zabezpieczeń transmisji w środowisku IPSec

Zastosowania PKI dla wirtualnych sieci prywatnych


SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Bezpieczeństwo w

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Ochrona danych i bezpieczeństwo informacji

Protokół HTTPS. Adam Danecki Informatyka gr. 1.4

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Laboratorium nr 6 VPN i PKI

Protokół SSH. Patryk Czarnik

5. Metody uwierzytelniania i bezpiecznej komunikacji Certyfikat klucza publicznego oparty o standard X.509

Protokół IPX (Internetwork Packet Exchange)

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Podstawy ochrony informacji - handel elektroniczny Elektroniczne płatności poprzez WWW

Wykład 9. Bezpieczeństwo systemów komputerowych. Protokoły SSL i TLS. Scentralizowane systemy uwierzytelniania. 5 listopada 2013

TelCOMM Wymagania. Opracował: Piotr Owsianko Zatwierdził: IMIĘ I NAZWISKO

Zastosowania informatyki w gospodarce Wykład 8

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Bezpieczne sieci TCP/IP

Ochrona systemów informacyjnych. SSL (Secure Socket Layer) - protokół bezpiecznych połączeń sieciowych

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

Komunikacja pomiędzy sterownikami PLC za pomocą łącza GSM GPRS

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Laboratorium nr 4 Sieci VPN

Protokoły internetowe

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Laboratorium nr 5 Sieci VPN

Przemysłowe Sieci Informatyczne. Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski

Protokół SSH. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

5. Metody uwierzytelniania i bezpiecznej komunikacji Certyfikat klucza publicznego oparty o standard X.509

Inżynier na miarę XXI wieku

The Secure Socket Layer protocol influence on the query response time in a computer management system

Problematyka bezpieczeństwa usług Web Services. Witold Andrzejewski

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Część I Warstwa interfejsu sieciowego

Program szkolenia: Bezpieczny kod - podstawy

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Uwierzytelnianie HTTP

Dr Michał Tanaś(

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

WSIZ Copernicus we Wrocławiu

Protokoły zdalnego logowania Telnet i SSH

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

EFEKTYWNA BEZPIECZNA TRANSMISJA DANYCH W SIECIACH WĄSKOPASMOWYCH

Laboratorium Programowania Kart Elektronicznych

Technologie zapewniajace bezpieczeństwo w systemach operacyjnych (PKI, Smart Cards, SSL, SSH)

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Specyfikacja interfejsów usług Jednolitego Pliku Kontrolnego

Problemy z bezpieczeństwem w sieci lokalnej

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

SNMP PODSTAWOWE KOMPONENTY. Relacje między trzema głównymi komponentami

1. Model klient-serwer

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Przykłady ataków. Błąd dotyczy np. forów dyskusyjnych z możliwością umieszczania plików grafcznych. Pozwala to na wykonanie dowolnego żądania HTTP.

Transkrypt:

Bezpieczne protokoły Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Bezpieczne protokoły Zbigniew Suski 1 Bezpieczne protokoły Sec! Sec (Secure )! L2TP (Layer 2 Tunneling Protocol)! PPTP (Point-to-Point Tunneling Protocol)! SSL (Secure Socket Layer)! TLS (Transport Layer Security)! SHTTP (Secure HyperText Transfer Protocol)! SSH (Secure Shell)! poufność! integralność! uwierzytelnienie! przezroczystość Zbigniew Suski 2 Zbigniew Suski 3 Składniki Sec Sec - połączenia bezpieczeństwa! Protokoły bezpieczeństwa " uwierzytelniający (Authentication Header - ) " zabezpieczenia zawartości pakietu (Encapsulating Security Payload -).! Połączenia bezpieczeństwa (Security Assaciations)! Zarządzanie kluczami (Internet Key Management -IKE)! Algorytmy uzgadniania parametrów (ISAKMP, Photuris), szyfrowania, kompresji danych (COMP).! Security Parameter Index (SPI)! Adres przeznaczenia (DA)! Protokół bezpieczeństwa ( lub ) Zbigniew Suski 4 Zbigniew Suski 5 Opracował: Zbigniew Suski 1

Co określa SA? Bazy połączeń! Informacje definiujące algorytm szyfrowania! Informacje definiujące algorytm uwierzytelniania! Informacje definiujące algorytm integralności! Klucze szyfrujące i kodujące wykorzystywane w i! Okres ważności kluczy! Okres ważności tunelu! Baza polityki bezpieczeństwa (Security Policy Database)! Baza połączeń bezpieczeństwa (Security Association Database) Zbigniew Suski 6 Zbigniew Suski 7 Tryb transportowy Tryb tunelowy 2 2 2 1 1 1 2 2 1 1 2 1 2 1 Zbigniew Suski 8 Zbigniew Suski 9 Sec - negocjacje i wymiana kluczy Sec wybrane protokoły negocjacji i dystrybucji! Algorytmy szyfrujące! Algorytmy uwierzytelnienia! Algorytmy kompresji! Kombinacje w/w w poszczególnych kanałach SA! Parametry szczegółowe algorytmów i kluczy kryptograficznych! ISAKMP (Internet Security Associattion and Key Management Protocol)! OAKLEY! IKE (Internet Key Exchange)! PHOTURIS! SK Zbigniew Suski 10 Zbigniew Suski 11 Opracował: Zbigniew Suski 2

protokołu uwierzytelniającego! Next Header - typ zawartości pakietu za nagłówkiem.! Payload Len -długość nagłówka! Security Parameters lndex (SPI) element identyfikatora SA! Sequence Number licznik pakietów! Authentication Data -wartość uwierzytelniająca (Integrity Check VaJue -lcv) L2TP i PPTP! Baza: protokół (warstwa 2 łącza danych) " uwierzytelnianie " kompresja " kapsułkowanie TCP " LCP (Link Control Protocol) " NCP (Network Control Protocol)! Port docelowy połączenia sterującego PPTP: 1723! Po utworzeniu ładunku powrót do wyższych warstw Zbigniew Suski 12 Zbigniew Suski 13 Struktura pakietów SSL (Secure Socket Layer)! PPTP łącza danych GRE zaszyfrowany ładunek łącza danych! SSL Record Protocol,! SSL Handshake Protocol! L2TP! SSL Change Cipher Spec Protocol łącza danych Sec UDP L2TP ładunek Sec uwierzyteln. Sec łącza. danych! SSL Alert Protocol szyfrowanie uwierzytelniane przez końcówkę Sec Zbigniew Suski 14 Zbigniew Suski 15 SSL Record Protocol dane aplikacji dane dane dane dane skompresowane SSL Handshake Protocol Client Server ClientHello --------------> <-------------- ServerHello <-------------- Certificate* <-------------- ServerKeyExchange* <-------------- CertificateRequest* <-------------- ServerHelloDone Certificate* --------------> ClientKeyExchange --------------> CertificateVerify* --------------> wersja SSL dane losowe id sesji CipherSuite dane zaszyfrowane MAC [ChangeCipherSpec] --------------> Finished --------------> <-------------- [ChangeCipherSpec] <-------------- Finished Application Data <----------> Application Data Zbigniew Suski 16 Zbigniew Suski 17 Opracował: Zbigniew Suski 3

TLS (Transport Layer Security) Protokół HTTP! Interoperacyjność! Łatwość rozszerzenia RFC 2246 Transport Layer Security (TLS) v 1.0. RFC 2817 Upgrading to TLS Within HTTP/1.1 RFC 2818 HTTP Over TLS RFC 2487 SMTP Service Extension for Secure SMTP over TLS Request Response = Request-Line *(( general-header request-header entity-header ) CRLF) CRLF [ message-body ] = Status- *(( general-header response-header entity-header ) CRLF) CRLF [ message-body ] Zbigniew Suski 18 Zbigniew Suski 19 Protokół HTTP i SHTTP Request-Line = Method SP Request-URI SP HTTP-Version CRLF Np.: GET http://www.w3.org/pub/www/theproject.html HTTP/1.1 Status-Line = HTTP-Version SP Status-Code SP Reason-Phrase CRLF Np.: HTTP/1.1 200 OK Przykłady kodów: Status-Code = "100" ; Continue "200" ; OK "202" ; Accepted "400" ; Bad Request "403" ; Forbidden "404" ; Not Found Linia żądania: Secure * Secure-HTTP/1.4 Odpowiedź serwera: Secure-HTTP/1.4 200 OK SHTTP nagłówki (Secure HyperText Transfer Protocol)! SHTTP-Privacy-Domain określa standard zapisu zabezpieczanej wiadomości! SHTTP-Certificate-Type określa akceptowane formaty certyfikatów! SHTTP-Key-Exchange-Algorithm określa algorytm używamy do wymiany kluczy! SHTTP-Signature-Algorithms określa algorytm podpisu cyfrowego! SHTTP-Message-Digest-Algorithms określa algorytm funkcji skrótu! SHTTP-Symmetric-Content-Algorithms określa algorytm symetrycznego szyfru pól danych! SHTTP-Symmetric-Header-Algorithms określa symetryczny algorytm szyfrowania nagłówków! SHTTP-Privacy-Enhancements określa zabezpieczenia związane z wiadomością Zbigniew Suski 20 Zbigniew Suski 21 SSH (Secure Shell) SSH TRANS inicjowanie negocjacji! Transport layer protocol [SSH-TRANS]! User authentication protocol [SSH-USERAUTH]! Connection protocol [SSH-CONN] Struktura pakietu SSH-TRANS! packet_length! padding_length! payload! random padding! mac (message authentication code)! code (SSH_MSG_KEXINIT)! kex_algorithms! server_host_key_algorithms! encryption_algorithms_client_to_server! encryption_algorithms_server_to_client! mac_algorithms_client_to_server! mac_algorithms_server_to_client! compression_algorithms_client_to_server! compression_algorithms_server_to_client! languages_client_to_server! languages_server_to_client! first_kex_packet_follows Zbigniew Suski 22 Zbigniew Suski 23 Opracował: Zbigniew Suski 4

SSH - USERAUTH Żądanie autentykacji: name! authentication method name reszta pakietu zależy od zaproponowanej metody autentykacji SSH - USERAUTH Odpowiedź na żądanie autentykacji: negatywna:! code (SSH_MSG_USERAUTH_FAILURE)! authentications that can continue! partial success pozytywna:! code (SSH_MSG_USERAUTH_SUCCESS) Banner dla klienta:! code (SSH_MSG_USERAUTH_BANNER)! message! language tag Zbigniew Suski 24 Zbigniew Suski 25 metoda publickey metoda hostbased! "publickey"! public key algorithm name! public key blob tutaj może być certyfikat! signature! "hostbased"! public key algorithm for host key! public host key and certificates for client host! client host name! client user name on the remote host! signature Zbigniew Suski 26 Zbigniew Suski 27 metoda password SSH-CONN otwarcie kanału! "password"! plaintext password! code (SSH_MSG_CHANNEL_OPEN)! channel type! sender channel identifier! initial window size! maximum packet size! channel type specific data follows Zbigniew Suski 28 Zbigniew Suski 29 Opracował: Zbigniew Suski 5