Презентация Microsoft PowerPoint

7/21/2019 Презентация Microsoft PowerPoint

http://slidepdf.com/reader/full/-microsoft-powerpoint-56d9830aab60b 1/18



∗

Introducere∗ Descrierea protocolului SSL

∗ Istoria si evoluția SSL

∗ Ce este SSL?

∗

Mecanismul de funcționare∗ Performanța SSL

∗ Riscuri de securitate in SSL

∗ Descrierea protocolului SSH

∗ Noţiuni generale∗ Arhitectura SS

∗ Sta!ilirea cone"iunii

∗ Autenti#carea clientului SS

∗ Conclu%ii

Obiective



∗Unul din cele mai importante mijloace de rezolvarea problemelor securităţii informaţionale în reţele detransfer date sunt protocoale criptograce.Folosirea lor se datorează utilizării unei mulţimi largide mecanisme pentru interacţiunile în reţea.Sub interacţiune &n reţea se subînţelegeschimbul de informaţie att la nivel de reţea a

modelului sistemelor deschise! cît "i la nivele maisuperioare.#n general! sub noţiunea de 'rotocolcri'togra#c se subînţelege un algoritm! realizat cu

ajutorul acţiunilor succesive "i care permiteparticipanţilor $doi sau mai mulţi% schimbuluiinformaţional să rezolve unele probleme. #n plus! seconsideră sigur un protocol criptografc în care

participanţii ating scopurile sale! iar intrusul & nu.



∗'ajoritatea protocoalelor au la baza saalgoritme criptograce $codicarea peblocuri! semnătura digitală! funcţii dedispersie$funcţii (ash%%! cu toate că acestlucru nu este obligatoriu & în loc dealgoritme criptograce pot utilizate

transformări ireversibile.∗Utilizarea algoritmilor de criptare înprotocoale $în unele protocoale se utilizează

mai multe algoritme diferite% duce lanecesitatea rezolvării problemei conveniriialgoritmilor utilizate "i a parametrilor lor

între părţile schimbului informaţional.



Descrierea protocolului SSLIstoria si evoluția SSL

∗ )rebuie sa men*ionez ca atunci cînd +,-ula intrat in aten*ia publicului el era folositpentru distribu*ia de pagini statice. /u după

mult timp! cîteva companii au avut ideea deal folosi pentru tranzac*ii nanciare! cum ar de e0emplu cumpărarea de bunuri cuajutorul căr*ilor de credit! opera*iuni bancare

online si schimburi electronice de ac*iuni.1ceste cone0iuni au creat o cerere pentrucone0iuni sigure. 1stfel! in 2334 compania/etscape 5ommunications! furnizorul

principal de navigatoare de 6eb din acel



∗ :n aceasta lucrare ma voi concentra pe securitatea la nivelde sesiune. Unul din cele mai folosite si raspanditeprotocoale este SS7 $Secure Soc8ets 7a9er%.

∗ SS7 este un protocol de securitate care asigura comunicatiicondentiale prin :nternet. ,l permite aplicatiilorclient;server sa comunice! in asa fel incat sa e evitata

interceptarea! modicarea sau falsicarea mesajelor.∗ 1ltfel spus Secure Soc8ets 7a9er $SS7% si )ransport 7a9er

Securit9 $)7S%! succesorul sau! sunt protocoale criptogracecare permit comunicatii sigure pe :nternet.

∗ SS7 asigura autenticarea endpointurilor si

condentialitatea comunicatiei prin :nternet folosindcriptograa. :n utilizarile uzuale! numai serverul esteautenticat $identitatea sa este certicata%! in timp ceclientul ramane neautenticat< autenticarea mutualapresupune e0istenta unei mecanism de distributie a cheilor

publice catre clienti.

Ce este SSL?



∗ vericarea mutuala de suportare a protocolului∗

schimbarea cheilor prin intermediul criptarii prinmetoda cu chei publice si autencare pe baza decerticate

∗ trasmiterea de trac criptat prin sistemul cheilorasimetrice

∗ ∗ :n timpul primei faze a protocolului serverul si clientul

negociaza asupra algoritmului de criptare ce va folosit. :mplementarile curente permit urmatoareleposibilitati=

∗ ∗ criptograa bazata pe chei publice= >S1! ?i@e

(ellman! ?S1 sau Fortezza<∗ pentru codari simetrice= >5A! >5B! :?,1! ?,S! )riple

SSL implica mai multe aze intermediare:



∗ SS7 este un sistem de criptare sosticat care nu cere clientului siserverului sa asigure o cheie secreta pentru a schimbata intre client si

server inainte ca tranzactia sa e pornita. SS7 foloseste 8e9publice;private pentru a oferi un sistem de criptare Ce0ibil! care poate setat in momentul tranzactiei securizate.

∗ Drotocolul SS7 utilizeaza cheile asimetrice. 1ceste chei sunt denite inperechi de chei publice si private. ?upa cum sugereaza si numele! cheiapublica este disponibila gratuit pentru oricine. 5heia privata estecunoscuta doar de server care are nevoie de un certicate digital si ocheie privata corespunzatoare.

∗ 1ceste chei de care am vorbit prezinta doua propietati importante=∗ 2. ?atele criptate de catre client folosind cheia publica! pot decriptate

doar de cheia serverului privat. ?atorita acestei proprietati a cheielor!

clientul este capabil sa transmita date securizate! care pot intelesenumai de catre server.

∗ A. ?atele criptate de catre cheia de pe serverul privat! pot decriptatefolosind cheia publica. 1ceasta proprietate este utila la nivelul clientuluiin timpul autenticarii pe server. ?aca serverul trimite un mesajcunoscut $spune numele serverului%! clientul poate sigur ca comunicacu serverul de autenticare si nu cu un impostor.

ecan smu efunctionare



∗

Drotocolul SS7;)7S suporta mai multi algoritmide criptare cu cheie secreta! printre care ?,S!

)riple?,S!:?,1! >5A si >5B. 5el mai puternicdintre acestia foloseste triplu ?,S cu trei cheiseparate pentru criptare si S(12 pentruintegritatea mesajului. 1ceasta combinatie

este relative lenta! asa ca de cele mai multeori este folosita doar pentru operatii bancaresi alte aplicatii in care este necesar cel maimare nivel de securitate. Dentru aplicatii

obisnuite de comert electronic este folosit >5Bcu o cheie pe 2AE de biti pentru criptare si'?4 pentru autenticarea mesajului. >5Bfoloseste cheia de 2AE de biti ca punct deplecare si apoi o e0tinde la un numar mult mai



∗ ?aca SS7 ofera o asemenea securitate! intrebarea care

se ridica este de ce nu se cripteaza intregul trac ?esiin esenta este o idee buna! trebuie prezicat ca inprocesul de criptare si stabilire a unei cone0iuni SS7 esteimplicat si foarte mult trac aditional! din cauza naturiiprotocolului ())D care creeaza o noua sesiune pentru

ecare obiect cerut dintro pagina +eb. ?e e0emplu!intro simpla tranzactie in care bro6serul cere o singurapagina de te0t cu patru imagini! genereaza cinci cereriG,) $una pentru pagina si patru pentru imagini%. Drinutilizarea SS7! pentru ecare din aceste sesiuni trebuienegociate chei separate de criptare. Dentru a inrautatii simai mult lucrurile! utilizatorii frustrati de timpul deraspuns reincarca pagina in bro6serul +eb $refresh%!generand si mai multe cone0iuni SS7.

Performanța SSL



∗ ,0ista totusi si riscuri de securitate chiar si atunci cand sefoloseste SS7.

∗ Hoi enumera cateva dintre ele=∗ SS7 nu ofera nici o protectie in afara sesiunilor! iar

serverele +eb care permit utilizarea SS7 nu pot sa ofereprotectie pentru date care sunt stocate in format te0t inserver.

∗ SS7 nu ofera protectie impotriva atacurilor bazate pe +ebprecum e0ploatarea diverselor puncte slabe prin scripturi 5G:.

∗ SS7 nu ofera nici un mecanism pentru controlareadrepturilor de securitate $ceea ce ii este permis unei persoane

sa faca dupa autenticarea pe un server%.∗ SS7 nu protejeaza impotriva atacurilor de tip ?enial of

Service si ramane vulnerabil la analiza tracului.∗ Dentru a oferi un nivel de securitate adecvat! serverele care

lucreaza cu SS7 ar trebui sa suporte criptarea pe 2AE biti si o

cheie publica pe 2IAB biti.

Riscuri de securitate in SSL



Descrierea protocolului SSHNoţiuni generale

∗ SS( $Secure Shell J Kmembrană sigurăK% este unprotocol de reţea a /ivelului Sesiune "i 1plicaţie! carepermite gestionarea de la distanţă a sistemei deoperare "i securizarea cone0iunilor )5D cu ajutorulunui tunel $e0. în cazul transmiterii de date%. Seaseamănă după funcţionalitate cu protocoalele )elnet"i rlogin! dar spre deosebire de ele criptează tottracul! inclusiv "i parolele transmise.

∗ 1stfel SS( permite transmiterea sigură a datelor întrun mediu nesigur! practic oricărui protocol de reţea.#n a"a mod este posibil nu numai lucru de la distanţăla calculator prin intermediul tunelului securizat! dar"i transmiterea prin acest canal a Cu0ului audio "i

video. ?easemenea el ajută la comprimarea datelor



∗ Drotocolul /ivelului )ransport $SS()ransport%asigură serverului autenticare!condenţialitate "i integritate. Lpţional poateoferi compresia datelor. /ivelul )ransport va

rula tipic peste o cone0iune )5D;:D! dar poate deasemenea folosit în partea superioară aoricărui Cu0 sigur de date.

∗ Drotocolul de autenticare a utilizatorului

$SS(User1uth% autentică partea de client autilizatorului către server. >ulează pesteDrotocolul /ivelului de )ransport.

∗ Drotocolul de cone0iune $SS(5onnect%multiple0ează tunelul criptat în mai multe

SS( constă din trei componente majore



Arhitectura SS∗ Host Keys (cheia gazdă J ecare server trebuie să aibă o

cheie gazdă.5heia gazdă a serverului este utilizată în timpulschimbului de chei pentru a verica că clientul vorbe"te cuserverul corect$care trebuie%.

∗ Dot utilizate două modele diferite=∗ 5lientul are o bază de date locală! care asociază ecare nume a

gazdei $host name% cu cheia publică corespunzătoare acestuia.∗ 1socierea numelui gazdei cu cheia este certicată de către o

autoritate certicată de încredere $51%.∗ !"tensi#ilitate J noi credem că protocolul va evolua în timp

"i unele organizaţii vor dori să utilizeze criptarea lor proprie "i

metodele de schimb a cheilor. #nregistrarea centrală a tuturore0tensiilor este greoaie! mai ales pentru elementelee0perimentale. De de altă parte! lipsa unei înregistrări centraleduce la conCicte în metodele de identicare! făcînd dicilăinteroperabilitatea.



∗ $olicy IssuesJ protocolul permite negocierea deplină a criptării!integrităţii! schimbului de chei!compresiei "i algoritmele cheiipublice. Următoarele trebuiesc incluse în mecanismul decongurare pentru ecare implimentare=

∗ 1lgoritmele de criptare! integritate "i compresie sunt separatepentru ecare direcţie∗ 1lgoritmele heilor publice "i metoda schimbului de chei să e

utilizate pentru autenticare.∗ 'etodele de autenticare e0istente să e cerute de către server

pentru ecare utilizator.∗ $roprietă%ile de securitate J scopul principal al protocolului

SS( este asigurarea securităţii în reţeaua :nternet. ,l încearcă săfacă acest lucru întrun mod u"or de implimentat! chiar "i la preţulsiguranţei absolute.

∗

1stfel toate algoritmele de criptare! integritate "i a cheii publiceutilizate sunt bine cunsocute "i bine stabilite. )oate algoritmeleutilizează chei criptograce! care oferă protecţie chiar "i celor maiputernice atacuri a timpului. )oate algoritmele sunt negociate "i încaz că un algoritm este distrus! este u"or de a realiza comutarea laalt algoritm! fără a modica protocolul de bază.

∗ 7ocalizarea "i Suportul setului de caractere.



∗ 1-5lientul "i serverul se înteleg asupra unei chei de sesiune!folosind în acest scop protocolul ?i@e(elman. #n continuare!

întreaga comunicaţie este criptată cu cheia de sesiune.∗ 5lientul autentică serverul. #n acest scop! serverul trimite rezultatul

semnării cheii de sesiune cu cheia sa secretă. 5lientul vericasemnatura folosind în acest scop cheia publică a serverului.

∗ ADentru u"urarea utilizării sistemului! serverul î"i trimite "i cheia

publică. ?acă clientul nu are cheia publică a serverului! o poatefolosi pe cea trimisă de server evident opţiunea este nesigură!deoarece serverul înca nu a fost autenticat "i deci sar putea să eun intrus. Utilizatorul este avertizat asupra acestui risc! "i cheiapublică a serverului este înregistrată în baza de date a clientului! laurmatoarea conectare la acela"i server cheia publică urmînd sa e

luată din baza de date.∗ Serverul autentică clientul. #n funcţie de conguraţia serverului!

poate accepta autenticare cu criptograe asimetrică! folosindacela"i protocol $dar bineînţeles fără posibilitatea trimiterii de cătreclient a cheii sale publice%! sau poate cere clientului o parola.

Sta!ilirea cone"iunii



Autenti#carea clientului SS

∗ 1utenticarea clientului se poate face prin parolă sauprin criptograe asimetrică. #n cazul criptograei

asimetrice! cheia secretă trebuie memorată pe disculma"inii client $o cheie pentru criptograe asimetricănu poate memorată rezonabil de om%. Stocareacheii secrete pe disc ind un risc de securitate! SS(

oferă posibilitatea stocării cheii secrete criptatefolosind ca "i cheie o frază $memorabilă de om%.∗ Dentru ca clientul SS( să nu ceară frazacheie pentru

decriptarea cheii secrete! SS( oferă următorulmecanism=

∗ Se lansează o aplicaţie numită agent de autentifcare.1ceasta cite"te cheia secretă criptată! cere frazacheie de decriptare "i decriptează cheia secretă! pecare o ţine în memoria >1'<



∗ Ldata cu cu raspandirea tot mai mare a sistemele distribuite si a:nternetului! securitatea informatiilor a devenit esentiala atat pentru

simplii utilizatori cat si pentru companiile nanciare si bancare.∗ Drotocolul SS7 a fost unul dintre primele raspunsuri la aceasta nevoie

de securitate! si incepand din anul 233M si pana in prezent a fostoptimizat in mod permanent. 1stfel! in momentul de fata protocolulSS7 $si;sau )7S% promite o condentialitate a informatiilor.

:ntegritatea comunicarii este asigurata prin faptul ca se folosescmesaje de autenticare in ecare mesaj! chiar de la inceputulprocesului de stabilire a legaturii $handsha8e%. ?e asemeneavalidarea este facut prin folosirea certicatelor ca un plus desecuritate.

∗ SS7 si )7S sunt medode dovedite si efective de a securizainformatiile importante si pe masura ce tot mai multe informatii vor tot mai bine securizate! protocoalele de comunicare securizata vorpune la dispozitie programatorilor de sisteme distribuite tot maimulte instrumente si aplicatii de implementat. Drotocolul SS(reprezintă o alegere bună! deoarece oferă servicii de remote acces!

dar cu un grad înalt de securitate.

Conclu%ii

Презентация Microsoft PowerPoint

Documents

Transcript of Презентация Microsoft PowerPoint