X33DSP. 2 Sítě na bázi IP a jejich bezpečnost (2/2)

Podobné dokumenty
Bezpečnost sí, na bázi IP

SSL Secure Sockets Layer

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Použití programu WinProxy

Úvod - Podniková informační bezpečnost PS1-2

Zabezpečení v síti IP

Směry rozvoje v oblasti ochrany informací PS 7

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Uživatel počítačové sítě

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Technologie počítačových sítí 2. přednáška

Identifikátor materiálu: ICT-3-03

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

Identifikátor materiálu: ICT-2-04

Bezpečnost vzdáleného přístupu. Jan Kubr

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Desktop systémy Microsoft Windows

Inovace bakalářského studijního oboru Aplikovaná chemie

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

3.17 Využívané síťové protokoly

X36PKO Úvod Jan Kubr - X36PKO 1 2/2006

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Směry rozvoje v oblasti ochrany informací KS - 7

Komunikace mezi uživateli: možnost posílání dat na velké vzdálenosti

KLASICKÝ MAN-IN-THE-MIDDLE

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zapomeňte už na FTP a přenášejte soubory bezpečně

Počítačová síť TUONET a její služby

Audit bezpečnosti počítačové sítě

Internet, www, el. pošta, prohlížeče, služby, bezpečnost

12. Bezpečnost počítačových sítí

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Internet Information Services (IIS) 6.0

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Certifikáty a jejich použití

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Protokol pro zabezpečení elektronických transakcí - SET

Informatika / bezpečnost

Secure Shell. X Window.

Šifrování dat, kryptografie

Úvod do informačních služeb Internetu

Síťové protokoly. Filozofii síťových modelů si ukážeme na přirovnání:

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Komunikační protokoly počítačů a počítačových sítí

PB169 Operační systémy a sítě

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Jan Hrdinka. Bakalářská práce

Důležité pojmy z oblasti počítačové sítě

A INTERNETU V PRAXI Q'REILLY'. Simson Gmfinkel Gene Spafford

Y36SPS Bezpečnostní architektura PS

Bezpečnost internetového bankovnictví, bankomaty

Přehled služeb CMS. Centrální místo služeb (CMS)

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

PSK2-16. Šifrování a elektronický podpis I

Název a označení sady: Člověk, společnost a IT technologie; VY_3.2_INOVACE_Ict

Číslo projektu CZ.1.07/1.5.00/ Škola SOŠ a SOU Hustopeče, Masarykovo nám. 1 Ing. Miriam Sedláčková Číslo

Počítačová síť a internet. V. Votruba

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování:

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

Typy samostatných úloh PSI 2005/2006

VPN - Virtual private networks

BEZPEČNÁ VÝMĚNA DOKUMENTŮ NA PŘÍKLADĚ VIRTUÁLNÍHO PODNIKU

OpenSSL a certifikáty

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

Transkript:

2 Sítě na bázi IP a jejich bezpečnost (2/2) 2.1 Jak se bezpečně připojit k Internetu? Dnes je již obecně vžilo, že LAN nesmí procházet jiným územím než územím vlastní firmy. Avšak na LAN data nebývají nikterak zabezpečena, takže je-li více zaměstnanců na jednom segmentu Ethernetu, pak si vzájemě mohou odchytit hesla v případě, že používají např. protokoly TELNET, FTP, POP3, HTTP atd. Odchytávání hesel lze značně ztížit použitím přepínaných (switched) LAN, tj. každý uživatel má svůj segment LAN a data se opakují jen na ty segmenty, kde je to bezpodminečně nutné. Na aktivních prvcích strukturované kabélaže lze také nastavit komunikaci tak, aby spolu mohly na linkové vrstvě komunikovat pouze konkrétní stanice. Ovšem ani přepínané LAN nezabrání tomu, aby před budovou nezaparkovala dodávka s odposlouchávacím zařízením, které je schpno monitorovat provoz na Vaší strukturované kabeláži a získat tak např. hesla. Takovéto odposlouchávání je zase možné ztížit použitím stíněných rozvodů strukturované kabeláže atd. Samostatným problémem je zabezpečení bezdrátových sítí. Na sériových linkách (WAN) se pro zabezpečení dat často používají šifrátory, tj. zabezpečnení se provádí na fyzické vrstvě. Dešní routery ale umí šifrovat na IP-vrstvě což je v mnoha případech efektivnějiší. Sítě na bázi IP a jejich bezpečnost (2/2) 1/18

Moţnosti připojení sítě do Internetu z hlediska bezpečnosti: Ţádné připojení, tento typ připojení se obecně doporučuje pro připojení vojenských, ale i vybraných průmyslových komplexů strategického významu. Obsluha takovýchto zařízení můţe mít k dispozici Internet (např. pro mail) jedině na jiném počítači, který není ţádným způsobem propojen se strategickou technologijí. Plné připojení do Internetu bez jakýchkoliv bezpečnostních omezení je druhým extrémem, se kterým se setkáváme např. v akademické sféře. Propojeni intranetu s Internetem, tj. máme vybudovanou vnitropodnikovou (privátní) síť na technologijích, které z bezpečnostních důvodů nesnesou přímé připojení intranetu s Interentem. Pro oddělení se pouţívá filtrace, proxy, wrappery a firewally. Speciálním problémem ja pak otázka jak vyuţít Internetu k vytvoření privátní sítě, tj. vytváření tunelů Internetem. Plné připojení do Internetu s tím, ţe pouţíváme takové technologie, které minimalizují bezpečnostní rizika Internetu. Tj. na serverech nepouţíváme sluţby jako TELNET, FTP, NFS, HTTP atd., ale pouze "bezpečné" sluţby: SSH, HTTPS, S/MIME atd. 2.2 Intranet Intranet vnitřní síť od Internetu izolována pomocí: filtrace, proxy a gateway, skrytých sítí, wrapperu, firewallu, za vyuţití tunelu. Sítě na bázi IP a jejich bezpečnost (2/2) 2/18

2.2.1 Filtrace Filtrace umoţňuje oddělit intranet od Interentu pomocí filtrů na přístupovém routeru, kterým je firma připojena do Internetu. Filtrace je vlastností routerů. Jako přístupový router můţe být pouţit klasický router (např. CISCO), ale i počítač se dvěma síťovými rozhraními a operačním systémem UNIX, Novell, NT atd. Filtrací je moţné docílit, aby se klienti z intranetu dostali na servery v Internetu, ale aby uţivatelé Internetu neměli přístup (neohroţovali) servery intranetu. K dosaţení tohto cíle je nutné provádět filtraci jak na úrovni protokolu IP, tak současně i fltraci protokulou TCP (resp. UDP). Filtr se rozhoduje na základě informací uloţených v záhlaví IPdatagramu a záhlaví TCP-paketu (resp. UDP-paketu). Filtr "nevidí" do aplikačního protokolu. Docílit pomocí filtrace stavu, aby klienti vnitřní sítě mohli na servery v Internetu a klienti z Internetu nemohli na servery v intranetu lze snadno pro protokoly TELNET, HTTP, HTTPS, POP, klienty News a několik dalších. Problematický je však Sítě na bázi IP a jejich bezpečnost (2/2) 3/18

provoz protokolů FTP, SMTP a všech aplikačních protokolů vyuţívajících UDP (tj. zejména DNS). Problém FTP se řeší pomocí tzv. pasivního FTP. Problémy s SMTP a DNS se řeší tak, ţe se povolí pouze komunikace mezi jedním konkrétním počítačem v Internetu a intranetem. Problémy s protokolem UDP (tj. zejména DNS) se řeší tzv. aktivními filtry, tj. filtry, které umoţňují odesílat datagramy z vnitřní sítě do Internetu, ale odpověď je moţné pouze v určitém krátkém časovém intervalu. Nevyţádané odpovědi se zahazují. Terminologická poznámka: Filtr filtrující podle údajů ze záhlaví IP-datagramu se nazývá Packet Filter. Filtr filtrující na základě údajů ze záhlaví TCP (resp. UDP) paketu se označuje jako Circuit Filter. 2.2.2 Proxy a gateway Proxy se instaluje různými zůsoby. Klasickým zapojením je proxy se dvěma síťovými rozhraními (jedno do Internetu a druhé do intranetu). Proxy je aplikace, která je v klasickém případě spuštěná na počítači, který leţí na rozhraní intranetu a Internetu. Přitom obě sítě nejsou vzájemně přímo dostupné. Pro přístup z jedné sítě do druhé je nutné se nejprve přihlásit na počítač s proxy. Bez proxy bychom musleli mít na tomto počítači konto. Proxy je aplikace, která spojení mezi oběma sítěmi zprostředkovává Sítě na bázi IP a jejich bezpečnost (2/2) 4/18

automatizovaně. Z hlediska klienta se proxy chová jako server, z hlediska cílového serveru se chová jako klient. Konkrétně pro protokol HTTP: Kategorizace: Klasická proxy - klient se nejprve přihlásí k proxy, které sdělí jméno cílového serveru, proxy jej pak propojí s cílovým serverem. Klasická proxy se pouţívá zejména pro protokoly FTP, TELNET, HTTP a HTTPS. Generická proxy - klient nemůţe sdělit proxy jméno cílového serveru (neumí to), proto je generická proxy natvrdo nasměrována na jeden konkrétní cílový server. Generická proxy se pouţívá pro protokoly POP, čtení news, firemní aplikace atd. Sítě na bázi IP a jejich bezpečnost (2/2) 5/18

Transparentni proxy - klient adresuje přímo cílový server. Transparentní proxy akceptuje spojení na cílový server a z akceptovaných IP-datagramů se dozví adresu cílového serveru, se kterým klientská část proxy okaţitě navazuje spojení. Z hlediska klienta se transparentní proxy jeví jako router, tj. klient neví, ţe na cesktě k serveru je nějaká proxy. Transparentní proxy se pouţívá zejména pro protokoly TELNET a FTP. Transparentní generická proxy. Zatímco gerická proxy umoţňuje různým klientům připojení na jeden konkrétní server, tak transparentní generická proxy umoţňuje různým klientům připojení na různé servery. Transparentni generická proxy je určena zejména pro firemní aplikace. Proxy pracuje na aplikační vrstvě, tj. proxy vidí do aplikačního protokolu. Je moţné provádět i filtraci při předávání mezi serverovou a klientskou částí proxy. Jelikoţ se jedná o filtraci na aplikační vrstvě, tak je moţné touto filtraci např. v protokolu FTP zakázat pouţívat říkaz PUT a povolit pouze GET. U protokolu HTTP je pak moţné omezovat přístup na některá URL atp. Sítě na bázi IP a jejich bezpečnost (2/2) 6/18

Gateway oproti proxy převádí jeden aplikační protokol na jiný. Např. klient přistupuje na gateway pomocí protokolu HTTP a gateway dále předává poţadavky v protokolu FTP: Sítě na bázi IP a jejich bezpečnost (2/2) 7/18

V současné době je velmi oblíbená kombinace proxy s filtrací na přístupovém routeru, který má více síťových interfejsů: Tato architektura je-li správně nakonfigurována přináší pro podobný efekt jako firewall, avšak náklady na ni jsou nesrovnatelně niţší. Klienti vnitřní sítě nemají přímý přístup do Internetu, přistupují na proxy, která jejich jménem vyřizuje poţadavky v Internetu. Proxy je z hlediska uţivatelů intranetu server, který vyřizuje jejich poţadavky. Z hlediska serverů v Interentu se proxy jeví jako počítač s velkým mnoţstvím klientů (jakoby všichni uţivatelé intranetu seděli přímo na tomto počítači). Na předchozím obrázku vznikl kromě intranetu a Internetu ještě třetí typ sítě označovaný jako "demilitarizovaná zóna" či "Extranet". Na serveru v Extranetu je přístup jak z Internetu, tak i z intranetu. Je tedy moţné, aby aplikace nabízené uţivatelům Internetu (běţící např. na WWW-serveru v Extranetu) přistupovaly k datům v intranetu. Sítě na bázi IP a jejich bezpečnost (2/2) 8/18

2.2.3 Privátní (skryté) sítě Je-li mezi intranetem a Internetem proxy či gateway, pak se navazuje samostatné spojení mezi klientem a proxy a další samostatné spojení mezi proxy a cílovým serverem. Není tedy nutné, aby intranet pouţíval IP-adresy známé v Internetu. Pro takovéto pouţití jsou vyhrazeny intervaly IP-adres 10.0.0.0 aţ 10.255.255.255 172.16.0.0 aţ 172.31.255.255 192.168.0.0 aţ 192.168.255.255 Takovéto adresy pouţívají intranety, tj. tyto adresy nejsou jednoznačné, nelze je tedy v Internetu pouţít, takţe počítače intranetu jsou tak chráněny proti přímému navazování spojení. Není-li na rozhraní mezi Internetem a intranetem proxy nebo gateway, pak je moţné pouţít Network Adress Translator (NAT), který je součástí software přístupových routerů či je realizován softwareově. Ochrana pomocí NAT je obecně chápána jako slabší prostředek. 2.2.4 Wrapper Wrapper je program, který se automaticky spuští před tím, neţ se klientovi povoleno přihlásit se k serveru. Wrapper prověřuje totoţnost klienta. Je-li klient prověřen, pak je mu teprve spuštěn poţadovaný server. Wrapper se také často pouţívá pro ověřování totoţnosti klienta na serverovské straně proxy. V současné době nejpolularnější metodou ověřování totoţnosti jsou tzv. hesla na jedno pouţití vytvářená pomocí různých autentizačních pomůcek. Sítě na bázi IP a jejich bezpečnost (2/2) 9/18

2.2.5 Firewall Firewall je dedikovaný počítač nebo soustava počítačů, která jako dárkový balíček nabízí komplex sluţeb - filtraci, proxy, autentizovaným uţivatelům přístup z Interentu do vnitřní sítě atd. Dále firewall umoţňuje zaznamenávat (logovat) akce prováděné firewallem. Aktivní firewally umoţňují v případě konkrétně definovaných událostí provádět např.: Potencionálního útočníka zařadit na černou listinu počítačů, se kterými uţ dále nekomunikuje. Uzavřít atakovanou sluţbu, popř. celý firewall. Spustit specifikovaný program, který můţe např. odeslat zprávu správci firewallu atd. Sledovat systém, na kterém firewall běţí a v případě nečekaných změn systémových souborů generovat událost. Jelikoţ jsou na jednopočítačový firewall kladeny velké bezpečnostní nároky, tak není moţné, aby na něm běţely aplikace, na které budou přímo přistupovat jednotliví uţivatelé (např. WWW-server, mail server atd.). WWW-server se umísťuje na demilitarizovanou zónu a poštovní server, interní WWWserver do vnitřní sítě. Sítě na bázi IP a jejich bezpečnost (2/2) 10/18

2.3 Tunel Tunel vytváří spojení mezi dvěma či více stranami (portály) skrze jinou síť. Tunel se vytváří buď za účelem transportu jiného síťového protokolu přes existující síť nebo za účelem bezpečného spojení dvou lokalit přes Internet. Není ani vyloučeno, aby jedna lokalita měla spojení do Internetu. Vzdálenou lokalitou propojenou přes tunel můţe být síť, ale i samostatný uţivatel. Zabezpečení přenosu dat můţe být prováděno na přístupových routerech tak, ţe v kaţdém přenášeném datagramu se ponechá IP-záhlaví a TCPzáhlaví (resp. UDP) a datová část kaţdého paketu se na vstupu do Internetu šifruje a na výstupu dešifruje. Takto pracují např. tunely realizované routery firmy CISCO. Sítě na bázi IP a jejich bezpečnost (2/2) 11/18

Druhou eventualitou je pak celý IP-datagram zašifrovat a vloţit do nového TCP nebo UDP paketu jako data. Toto řešení pouţívá např. OpenVPN. Výhodou tohoto řešení je, ţe i vzdálená lokalita můţe pouţívat adresy pro skryté sítě, tj. např. adresu sítě 10. Vzdálená lokalita se tak stává integrální součástí intranetu. 2.4 Bezpečné služby Pro autentizaci tyto nástroje pouţívají asymetrickou kryptografii. Pro přenos vlastních dat pak pouţívají symetrickou šifru. 2.4.1 PGP Program PGP je určen pro šifrování a elektronické podepisování souborů (dávek). Takoto zašifrovaná zpráva pak můţe být přenášena elektronickou poštou, na magnetickém médiu či jiným způsobem. Příjemce zprávu jako dávku dešifruje a následně vyuţije (přečte či data počítačově zpracuje). 2.4.2 SSH SSH je tvořeno mj. programy: ssh (pro vzdálené přihlášení) scp (pro přenos souborů) program na generování dvojice veřejný/soukromý klíč Sítě na bázi IP a jejich bezpečnost (2/2) 12/18

Program ssh (resp. scp) je určen pro interaktivní práci. Nahrazuje "nebezpečné" programy: rlogin či telnet. Program scp nahrazuje programy rcp či ftp. Programy pro vzdálené přihlášení a přenos souborů se pouţívají pro práci na serveru. Dnes je pouţívají nejčastěji správci systému či vývojáři, tj. úzký okruh uţivatelů pro které není na překáţku předat správci serveru svůj veřejný klíč např. na disketě. 2.4.3 Bezpečný mail Pod pojmem bezpečný mail dnes rozumíme takový systém, který zprávu zašifruje (resp. elektronicky podepíše či obojí) a odešle běţným (nezabezpečeným) elektronickým mailem, tj. protokolem SMTP či ESMTP. Výhodou takovéhoto řešení je, ţe nevyţaduje ţádný zásah do stávajících poštovních systémů Internetu. Systémy, které se snaţí nešifrovanou zprávu přenášet bezpečným kanálem (např. SMTP či POP over SSL) se neujaly, protoţe by vyţadovaly zásahy do stávajícího poštovního systému Internetu. Nejjednodušším mechanizmem je vyuţití PGP pro šifrování či elektronické podepisování. Tj. zprávu pořídíme textovým editorem, zašifrujeme PGP a odešleme stávající poštovním mechanizmem. Toto řešení se nejeví jako perspektivní, protoţe se špatně automatizuje (i kdyţ i pro PGP se objevilo MIME/PGP). Řešením, které se asi prosasadí je S/MIME. S/MIME přinesla firma Netscape. Výhodou tohoto řešení je mj. i to ţe je velmi podbné interaktivnímu SSL, takţe obojí lze řešit pomocí týţ knihoven, čehoţ firma Netscape i vyuţívá. S/MIME se orientuje na vyuţití certifikátů. Pro bezpečný mail jsou vhodné i certifikáty certifikačních autorit třídy 1 jejiţ certifikáty lze získávat jednoduše bez osobní přítomnosti uţivatele na certifikační autoritě. S/MIME je velice vhodné pro veškeré aplikace mající dávkový charakter. Umoţňuje autentizaci, šifrování i elektronický podpis Sítě na bázi IP a jejich bezpečnost (2/2) 13/18

jednotlivých zpráv (elektronický podpis transakcí není např. u SSL zabezpečen). 2.4.4 SSL a HTTPS SSL je "prezentrační vrstva" umísťující se mezi protokol TCP a aplikační protokoly. SSL umoţňuje prokazovat totoţnost serveru. V případě neanonymních serverů můţe být poţadováno prokazování totoţnosti klienta. SSL umoţňuje se autentizovaně přihlásit aniţ by se sítí přenášelo heslo. Dále SSL zabezpečuje šifrování a integritu přenášených dat. Sítě na bázi IP a jejich bezpečnost (2/2) 14/18

SSL se rovněţ orientuje na vyuţívání certifikátů. SSL slouţí aplikačním protokolům k zabezpečnení přenosu, tj. bezpečnostní problému řeší za aplikační protokoly. Podle toho jaký aplikační protokol vyuţívá SSL, pak hovoříma např. o Secure LDAP (LDAP over SSL), HTTPS (HTTP over SSL) atd. SSL bere data od aplikačního protokolu a šifrované je předává protoklu TCP, tj. nevidí do aplikačních dat. Není tedy schopno rozlišovat jednotlivé aplikační transakce (např. prodej jedné letenky) a jednotlivé transakce nemůţe tedy ani elektronicky podepisovat. Tento problém si musí řešit aplikace sama. Otázkou pak ale je, ţe kdyţ si tento problém bude řešit aplikace sama, tak uţ si i sama vyřeší všechny ostatní bezpečnostní aspekty, tj. obejde se bez SSL. SSL slouţí pro autentizaci a pro zabezpečení dat mezi klientem a serverem. Znemoţňuje přístup neautorizovaným uţivatelům, dále zabezpečuje privátnost (šifrování) přenášených dat a zabezpečuje integritu přenášených dat pomocí kontrolního součtu (nikoliv elektronického podpisu), ale nezabezpečuje elektronický podpis jednotlivých transakcí. Protokol SSL se vyuţívá pro bezpečnou komunikaci s internetovými servery pomocí HTTPS,.po vytvoření SSL spojení je komunikace mezi serverem a klientem šifrovaná. Ustavení SSL spojení funguje na principu asymetrické šifry 1, kdy kaţdá z komunikujících stran má dvojici šifrovacích klíčů veřejný a soukromý. Ustavení SSL spojení (SSL handshake) probíhá v principu následovně: Klient pošle serveru poţadavek na SSL spojení, spolu s různými doplňujícími informacemi (verze SSL, nastavení šifrování atd.). Server pošle klientovi odpověď na jeho poţadavek, která obsahuje stejný typ informací a hlavně certifikát serveru. 1 Veřejný klíč je moţné zveřejnit a pokud tímto klíčem kdokoliv zašifruje nějakou zprávu, je zajištěno, ţe ji bude moci rozšifrovat jen majitel pouţitého veřejného klíče svým soukromým klíčem. Sítě na bázi IP a jejich bezpečnost (2/2) 15/18

Podle přijatého certifikátu si klient ověří autentičnost serveru. Certifikát také obsahuje veřejný klíč serveru. Na základě dosud obdrţených informací vygeneruje klient základ šifrovacího klíče, kterým se bude šifrovat následná komunikace. Ten zašifruje veřejným klíčem serveru a pošle mu ho. Server pouţije svůj soukromý klíč k rozšifrování základu šifrovacího klíče. Z tohoto základu vygenerují jak server, tak klient hlavní šifrovací klíč. Klient a server si navzájem potvrdí, ţe od teď bude jejich komunikace šifrovaná tímto klíčem. Fáze handshake tímto končí. Je ustaveno zabezpečené spojení šifrované vygenerovaným šifrovacím klíčem. Sítě na bázi IP a jejich bezpečnost (2/2) 16/18

Během první fáze ustanovení bezpečného spojení si klient a server dohodnou kryptografické algoritmy, které budou pouţity: pro výměnu klíčů např. RSA, Diffie-Hellman nebo DSA; pro symetrickou šifru: IDEA, DES, 3DES nebo AES; pro hašovací funkce: MD5 nebo SHA, viz literatura. 2.4.5 Certifikáty Certifikát je datová struktura (řetězec bitů) pomocí které se zveřejňují údaje o uţivateli a zejména uţivatelův veřejný šifrovací klíč (v případě RSA šifer). Certifikát je elektronicky podepsán (ověřen) certifikační autoritou. Z certifikátu je moţné zíkat veřejný šifrovací klíč uţivatele, který je moţné pouţít k prokazování totoţnosti uţivatele. V případě, ţe certifikát obsahuje šifrovací klíč určený také k šifrování dat, pak je moţné i tento klíč z certifikátu pouţít k šifrování dat odesílaných uţivateli. 2.5 Příklad realizace Problém nabídky dat pomocí protokolu HTTPS spočívá v tom, ţe data jsou umistěna ve vnitřní síti za firewallem. Přitom WWWserver musí být umístěm před firewallem, tj. musí být dostupný z Internetu. Aby byl moţný z WWW-serveru přístup na data ve vnitřní síti, tak musí být umístěn v demilitarizovéné zóně firewallu, tj. na LAN firewallu, která je chráněna filtrací na přístupovém routeru do Internetu. Firewall je nastaven jako circuit filter pro komunikaci mezi WWW-serverem a databází ve vnitřní síti. Pro filtraci je nutné nastavit jen minimalní moţnost průchodu firewallem tak, aby komunikace ještě bzla moţná. Existuje i druhá varianta konfigurace firewallu, kdy se firewall nekonfiguruje jako filter, ale jako generická proxy umoţňující opět pouze komunikaci mezi WWW-serverem a databází. Sítě na bázi IP a jejich bezpečnost (2/2) 17/18

Literatura Alena Kabelová, Libor Dostálek: Velký průvodce protokoly TCP/IP a systémem DNS, Computer Press, Praha, ISBN: 80-7226-675-6 Libor Dostálek a kol.: Velký průvodce protokoly TCP/IP: Bezpečnost. Computer Press, Praha, ISBN: 807226513X Simson Garfinkel, Gene Spafford: Bezpečnost v UNIXu a Internetu v praxi. Zabezpečení počítačových systémů. Computer Press, Praha, ISBN: 8072260820 Hacking bez tajemství. Joel Scambray, Stuart McClure, George Kurtz. Computer Press, Praha, ISBN: 80-7226-644-6 Počítačový útok. Detekce, obrana a okamţitá náprava. Chris Prosise, Kevin Mandia. Computer Press, Praha, ISBN: 80-7226- 682-9, PGP - Pretty Good Privacy - Šifrování pro kaţdého. Simson Garfinkel. Computer Press, Praha, ISBN: 8072260545 Sítě na bázi IP a jejich bezpečnost (2/2) 18/18

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář