srm_predavanje_4

Download SRM_Predavanje_4

Post on 04-Sep-2014

23 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

SIGURNOST RAUNARSKIH MREA (SRM)

Tema 4:

Sigurnosni protokoli

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

URLs:2

Zvanina Web strana: www.viser.edu.rs/predmeti.php?id=122 Dodatni resursi: www.conwex.info/draganp/teaching.html Knjige:www.conwex.info/draganp/books.html

Teme za seminarske radove:www.conwex.info/draganp/SRM_seminarski_radovi.html

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Sigurnosni protokoli3

Sadraj poglavlja i predavanja:4.1 ta su kriptografski protokoli i emu slue? 4.2 Protokol Secure Sockets Layer (SSL) 4.3 IPSec 4.4 Protokoli za proveru identiteta Dodatak: Diffie-Hellman Key Exchange

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Quote4

If a secret piece of news is divulged by a spy before the time is ripe, he must be put to death, together with the man to whom the secret was told. The Art of War, Sun Tzu

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Potrebna predznanja5

Matematika Programiranje Za primenu: Raunarske mree i protokoli Operativni sistemi Sistemsko programiranje Internet

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

4.1 ta su kriptografski protokoli i emu slue6

Protokol je skup pravila i konvencija koji definie komunikacioni okvir izmeu dva ili vie uesnika u komunikacijiUspostava veze Odravanje veze Raskid veze Oporavak u sluaja prekida veze

Kriptografski protokoli se upotrebljavaju za uspostavljanje sigurne komunikacije preko nepouzdanih globalnih mrea i distribuiranih sistema.

Oslanjaju se na kriptografske metode zatite kako bi korisnicima obezbedili osnovne sigurnosne usluge poverljivosti, integriteta i neporecivosti.

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Sigurnostni protokoli na razliitim TCP/IP slojevima7

Sloj aplikacije OpenPGP Transportni sloj TLS (Transport Layer Security) Mreni sloj IPSec Sloj veze ifrovanje, razliiti mehanizmi

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Poznati sigurnosni protokoli8

IPSec IP Security SSL Secure Sockets Layer TLS Transport Layer Security TTLS - Tunneled Transport Layer Security EAP (Extensible Authentication Protocol) EAP TTLS EAP Tunneled TLS Authentication Protocol

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Usluge specifine za odreene primene9

PGP - Pretty Good Privacy S/MIME - Secure/Multipurpose Internet Mail Extensions SET Secure Electronic Transaction Kerberos SSL/HTTPS

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

4.2 Protokol Secure Sockets Layer (SSL)10

Obezbeuje mehanizme za identifikaciju dva sagovornika povezana raunarskom mreom i zatieni prenos podataka izmeu njih Projektovan da zadovolji sledee ciljeve Kriptografska zatita Nezavisnost od softvera i hardvera Proirivost Efikasnost

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Zadatak SSL protokola11

Zadatak protokola Secure Sockets Layer (SSL) jeste da ostvari zatieni prenos podataka kroz mreu. SSL obezbeuje mehanizme za identifikaciju servera, identifikaciju klijenta i ifrovanu razmenu podataka izmeu njih, to ini potpuni sistem zatiene komunikacije dva mrena entiteta. Za ostvarivanje zatienog prenosa, protokol SSL moraju podravati i klijent i server.

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Svojstva SSL-a12

Privatnost Mogunost provere identiteta Pouzdanost

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

SSL u skupu protokola13

Aplikacioni Prezentacioni SSL Sesija Transportni Mreni Veza Pristup mrei Fiziki ISO OSI TCP/IPCopyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

handshake record

Aplikacioni

Transportni Internet

SSL protokoli14

SSL se sastoji od dva protokola: SSL Handshake protokol (protokol za rukovanje, tj. uspostavljanje sesije) koji omoguuje klijentu i serveru meusobnu identifikaciju i razmenu parametara za prenos (odabir algoritma i kljueve). SSL Record protokol (protokol za zapise) koji je zaduen za ifrovanje i prenos poruka.

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

SSL protokol za rukovanje15

SSL klijent ClientHello

SSL server

ServerHello Certificate* ServerKeyExchange* CertificateRequest* ServerHelloDone Certificate* ClientKeyExchange CertificateVerify* #ChangeCipherSpec# Finished #ChangeCipherSpec# Finished Podaci Podaci

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Atributi SSL sesije i veze16

Svaka SSL sesija opisana je sledeim atributima: Identifikator sesije Potvrda entiteta Metoda kompresije ifrovanje Tajna Proirivost

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Obnavljanje SSL sesije17

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

SSL protokol za zapise18

SSL protokol za zapise prima podatke s vieg sloja u blokovima proizvoljnih veliina, ne interpretira ih, ve ih deli na delove odgovarajue veliine, kriptografski titi i alje sagovorniku, gde se odvija obrnuti proces.

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Izvetaji19

Neoekivana poruka Neispravna MAC vrednost Greka prilikom dekompresije Greka u fazi uspostavljanja sesije Greke vezane za sertifikateNema sertifikata Neprikladan sertifikat Nevaei sertifikat Poniten sertifikat Lo sertifikat Neprihvatljiv sertifikat

Nevaei parametarCopyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Primena SSL-a20

SSL se najee koristi za plaanje robe kreditnom karticom, gde se zatieno prenosi samo broj kreditne kartice. Za takve, a i mnogo zahtevnije zadatke, SSL je zadovoljavajue reenje. SSL nije standardizovao IETF (Internet Engineering Task Force) pomou RFC dokumenata, ve je opisan u publikaciji koju je objavila kompanija Netscape Communications. SSL je relativno brzo postao de facto standard za sigurnu komunikaciju, a www konzorcijum (www.w3.org) odobrio je SSL kao zvanian standard.

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Implementacije SSL-a21

Hardverske Softverske

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Hardware: SSL accelerator cards22

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

In Web browser23

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

OpenSSL24

OpenSSL je besplatan kriptografski alat koji implementira sigurnosne protokole SSL verzije 2 i 3 i TLS v1, kao i ostale kriptografske standarde koji se odnose na ove protokole (na primer, 3DES, AES i RSA). OpenSSL omoguava da se s komandne linije pozivaju razne kriptografske funkcije ugraene u zbirke datoteka programskog paketa OpenSSL Programski paket OpenSSL moe se besplatno preuzeti sa Web stranice www.openssl.org.

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Druga reenja25

Neka od drugih reenja koja koriste arhitekturu i principe sline onima koji postoje u protokolu SSL jesu: S/MIME (Secure/MIME) SSH (Secure Shell) PCT (Private Communication Technology) OpenPGP.

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

SSH26

Secure Shell (SSH) je popularan protokol za ifrovanje komunikacionih kanala, koji se najee koristi za obezbeivanje sigurnih sesija udaljenog prijavljivanja na sistem. Arhitektura SSH je dvoslojna (engl. two-tier) klijent-server arhitektura. SSH server je softver koji prima ili odbija dolazee veze ka raunaru. SSH klijentski softver instaliran je na udaljenim raunarima SSH ifruje sve podatke koji se prenose preko mree, a samo ifrovanje je transparentno (nevidljivo) za korisnika

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

4.3 IPSecurity (IPSec)27

IPSec nije jedan protokol IPSec prua skup sigurnosnih algoritama i plus opti okvir (engl. framework) koji omoguava paru entiteta koji komuniciraju da koriste algoritme koje ele da bi obezbedili odgovarajuu sigurnost komunikacije

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Mesto IPSec u skupu protokola28

Aplikacioni Prezentacioni Sesija Transportni Mreni Veza Pristup mrei Fiziki ISO OSI TCP/IP Transportni Internet Aplikacioni

HTTP, FTP, SMTP, POP, DNS, DHCP, ... TCP, UDP ICMP IP ARP IPSec

PPP, Ethernet

Protokoli

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Primena IPSec-a29

Povezivanje udaljenih ogranaka firme sa centralom sigurnom vezom, a preko javnih (nesigurnih) mrea Siguran pristup sa udaljenih lokacija preko javne mree (Internet) Uspostavljanje extranet i intranet veza sa partnerima Poveanje sigurnosti elektronske trgovine

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Primena IPSec-a30

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Kratak pregled31

Internetworking and Internet Protocols IP Security Overview IP Security Architecture Authentication Header Encapsulating Security Payload Combinations of Security Associations Key Management

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

Pregled IPSec dokumenata32

*DOI - Domain Of Interpretation

Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.

IPSec33

Generalni sigurnosni mehanizmi koje prua IPSecProvera identiteta (engl. authentication) Poverljivost (engl. confidentiality) Upravljanje kljuevima (engl. key management)

Moe se koristiti preko LAN i (privatnih i javnih), Interneta

Copyright 2005-2011 Dragan Pleskonjic. All R