SSL és TLS. Mi a TLS SSL – Secure Socket Layer TLS – Transport Layer Security Biztonságos transport layer a böngésző és a szerver között SSL v3.0 : Internet.

Slides:



Advertisements
Hasonló előadás
Dolgozni már bárhonnan lehet…
Advertisements

Hálózati és Internet ismeretek
Hálózati ismeretek 5 Hálózati, szállítási és alkalmazási réteg
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 1/38 Virtual Private Network alapok titkosítás, IPsec Kovács József
Nyilvános kulcsú titkosítás
E-COMMERCE JOBS This project (Project number: HU/01/B/F/PP ) is carried out with the financial support of the Commssion of the European Communities.
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Webtech Vizsgakérdések. Fizikai alapok •MAC address •Vake on LAN •Egyenes és keresztkötésű kábel •Két gép keresztkötésű összekötése ábrán •Alháló:host+switch+router.
IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Hálózatok.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
WLAN hálózatok a támadó szemszögéből Horváth Tamás
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI
2003. február 11.Biztonságos Windows környezetben 1 Biztonságos Windows Környezetben Ingyenes kliensek, jelszavak védelme, kódolás.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Hálózati Operációs Rendszerek
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Hálózati Operációs Rendszerek
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem Pethő Attila 2008/9 II. félév.
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem
WEB Technológiák Dr. Pance Miklós – Kolcza Gábor Miskolci Egyetem.
Hálózatkezelés, java.net Elek Tibor
 Az Apache webszervernek semmi köze az Apache indiánokhoz, akik az Egyesült Államok dél-nyugati részén élõ õslakók. A név egy szójáték: "a patchy server”,
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
Szombathely Dinamikus WEB programozás: PHP és JSP.
PHP III. Fájlok, űrlapok.
PHP VII Sütik, munkamenetek. Sütik Mi az a süti? A süti (cookie) állapotot tárol a felhasználó böngészőjében. Pl. ha egy oldalon beállítható, hogy milyen.
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
„Hagyományos” VPN protokollok PPTP Windows NT és „kortársai” Windows 2000 Windows XP, Windows Server 2003 Windows Vista, Windows Server 2008 L2TP Windows.
Exchange Server 2007 Client Access Role
a Moodle autentikációjához a PTE FEEK-en
Tóth Gergely, október 27. HISEC’04, október , Budapest Keretrendszer anonimitási módszerek integrálására Tóth Gergely Budapesti Műszaki.
Tóth Gergely, február BME-MIT Miniszimpózium, Általános célú biztonságos anonimitási architektúra Tóth Gergely Konzulensek: Hornák Zoltán.
LOGO Webszolgáltatások Készítette: Kovács Zoltán IV. PTM.
Titkosítás, elektronikus és digitális aláírás. Fontos mindig észben tartanunk, hogy ha titkosítatlan csatornán kommunikálunk az Interneten, akkor bármely.
Hálózati alapismeretek
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
Gyakorlat 3. Számítógép hálózatok I.
{ PKI } Active Directory Certificate Services
Illés Zoltán ELTE Informatikai Kar
Az Internet alkalmazásai
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós.
Exchange Rendszerkövetelmények Windows Server 2003 (Windows 2000 SP3) CPU 500 MHz RAM 512 MB 200 MB a rendszermeghajtón 500 MB a telepítés helyén.
Webszolgáltatás szabványok Simon Balázs
Titkosítás - Kriptográfia
RPC/MAPI HTTPS IMAP4 POP3 HTTPS IMAP4 POP3 Mailbox Server Mailbox Server Domain Controller Domain Controller Client Access Server Client.
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
Nagy Sándor CISSP, CEH, CISA, CISM
WireShark - Forgalom elemzés
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
WiFi biztonság WEP WPA.
Webes technológiák 10/1. Bilicki Vilmos Árpád tér 50.-es szoba 3411-es mellék.
Hálózatos programok készítése
Előadó: Kajdocsi László
Alkalmazási réteg protokolljai
HTE előadás BME TMIT I. 210 Az internet szolgáltatás mérése az NMHH gyakorlatában – a szolgáltatásminőség EU-s dimenziója Előadók: Torma Zsolt (NMHH)
A windows live messenger
Hálózatkezelés Java-ban
CONNECTRA rendszer bevezetése
Internet-szolgáltatások I/13. évfolyam
Válasz a hálózatra, biztonságra, meg mindenre: 7
TELE-OPERATOR® UTS v.18 Mobil internet szolgáltatások hálózatsemlegességét ellenőrző mérőrendszer működése Gyártó: COMPU-CONSULT Kft. Ügyvezető: dr.
Előadás másolata:

SSL és TLS

Mi a TLS SSL – Secure Socket Layer TLS – Transport Layer Security Biztonságos transport layer a böngésző és a szerver között SSL v3.0 : Internet Draft (1996) SSL : Netscape 3.0-t megvalósítják a böngészők TLS : RFC 2246 TLS = „SSL v3.1”

SSL Record Protocol SSL Handshake Protocol SSL Handshake Protocol SSL Change Cipher Spec Protocol SSL Change Cipher Spec Protocol SSL Alert Protocol SSL Alert Protocol applications (e.g., HTTP) applications (e.g., HTTP) TCP IP Az SSL felépítése

Egyes részek SSL Handshake Protocol –Megállapodás a titkosítási algoritmusokban és paraméterekben –Kulcs csere –Szerver és esetleg kliens azonosítása SSL Record Protocol –fragmentáció –tömörítés –üzenet azonosítás és integritás –titkosítás SSL Alert Protocol –hibaüzenetek (fatális hibák és figyelmeztetések) SSL Change Cipher Spec Protocol –SSL handshake végének jelzése

Session SSL session = kliens és szerver összerendelése Állapottal rendelkezik: biztonsági algoritmusok és paraméterek Több biztonságos csatornát is tartalmazhat Az állapot közös az egyes csatornák között Előny: nem kell a drága egyeztetés sokszor

Session állapot –session azonosító Tetszőleges byte sorozat – a szerver választja –partner tanusítvány A partnet X509 tanusítványa Lehet üres –tömörítési mód –titkosító megadása egykulcsos titkosító algoritmus (e.g., null, DES, 3DES, …) Message Authentication Code algoritmus (e.g., MD5, SHA-1) titkosítás tulajdonságai (e.g., hash méret, …) –master secret 48-byteos közös titok a kliens és a szerver között –Újraindítható-e Hasznáható-e újabb kapcsolatok létrehozására –Kapcsolat állapotok

SSL Record Protokoll MACkitöltéstípus fragmentáció tömörítés Üzenet azonosítás és titkosítás verzióhossz típusverzióhossz típusverzióhossz SSL titkosítatlan szöveg SSL tömörített SSL titkosított

Fejléc típus –A további részt feldolgozó legmagasabb szintű protokoll –értékei: titkosítási specifikáció változtatás figyelmezetés handshake alkalmazás adat verzió –SSL verzió, (3.0) hossz –Byteban (max: )

Titkosítás –Blokk kódolók (CBC mode kitöltéssel) RC2_40 DES_40 DES_56 3DES_168 IDEA_128 Fortezza_80 –stream kódolók RC4_40 RC4_128

CBC mód

SSL Alert protokoll 2 db 1 byte-os mező Első mező: fatális vagy csak figyelmeztetés Második maga az üzenet: –fatális Váratlan üzenet A record MAC nem stimmel Kitömörítési hiba Handshake nem sikerült Illegális paraméter –figyelmeztetés Bezárási értesítés Nincs tanusítvány Rossz tanusítvány Nem támogatott tanusítvány Visszavont tanusítvány Lejárt tanusítvány Ismeretlen tanusítvány Fatális hiba esetén –Kapcsolat megszakítása –session ID érvénytelenítése  nem lehet új kapcsolatot létrehozni benne

SSL Handshake protokol client_hello server_hello certificate server_key_exchange certificate_request server_hello_done certificate client_key_exchange certificate_verify change_cipher_spec finished change_cipher_spec finished 1. fázis: Session ID, kulcscsere,MAC és titkosítási algo- Ritmusok és kezdeti véletlenszámok cseréje 2. fázis: A szerver elküldi a tanúsítványát esetleg elkéri a Kliens tanúsítványát 3. fázis: A kliens ha kérték elküldi a tanúsítványát. Kulcs cserebere 4. Fázis: Titkosítási beállítások cseréje, handshake vége

Szolgáltatások https443/tcp http + TLS/SSL smtps465/tcp smtp + TLS/SSL smtp 25/tcp STARTTLS kulcsszó (RFC 2487) imaps 993/tcp imap4 + TLS/SSL imap4 143/tcp STARTTLS kulcsszó (RFC 2595) pop3s 995/tcp pop3 + TLS/SS pop3 110/tcp STLS kulcsszó (RFC 2595) ldaps 636/tcp ldap + TLS/SSL ircs 994/tcp irc + TLS/SSL nntps 563/tcp nntp + TLS/SSL

Apache 2 SSL SSL nélkül Listen 80 ServerName DocumentRoot /var/www/teszt/www CustomLog /var/log/apache2/www_teszt_hu.log clf

Apache 2 SSL Listen 443 # Include the SSL module LoadModule ssl_module /usr/lib/apache2-prefork/mod_ssl.so ServerName www2.teszt.huwww2.teszt.hu DocumentRoot /srv/www/teszt2/www CustomLog /var/log/apache2/ clf # Minimal SSL configuration SSLEngine On SSLCertificateFile /etc/apache2/ssl.crt/teszt.crt SSLCertificateKeyFile /etc/apache2/ssl.key/teszt.key Directory-k létrehozása umask 022 mkdir /etc/apache2/conf/ssl.key mkdir /etc/apache2/conf/ssl.crt mkdir /etc/apache2/conf/ssl.crl Saját aláírású cert létrehozása openssl req \ -new \ -x509 \ -days 30 \ -keyout /etc/apache2/conf/ssl.key/teszt.key \ -out /etc/apache2/conf/ssl.crt/teszt.crt \ -subj '/CN=Test-Only Certificate'

Apache 2 finomítás Erőset csak SSLProtocol -all +SSLv2 SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP Csak SSL-el elérhető directory SSLRequireSSL Csak általam kiadott cerificate-tel SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile conf/ssl.crt/ca.crt

Teszt Böngészőből: openssl s_client –connect Wireshark