C6 T1 Vybrané kapitoly počíta tačových s sítí Bezpečnost dat v Internetu 1. Počíta tačová bezpečnost 2. HTTP komunikace 3. 4. Statistiky
2 Cíle cvičen ení C6 Bezpečnost dat v Internetu 1. Charakterizovat počíta tačovou bezpečnost. 2. Objasnit HTTP komunikaci. 3. Objasnit HTTPS komunikaci.
3 Kritéria ria bezpečnosti Počíta tačov ová bezpečnost Důvěrnost rnost (Confidentiality) Bráníme neautorizovanému čtení dat. Integrita (Integrity) Integrita Bráníme neautorizované modifikaci dat. Dostupnost (Availability) Dostupnost Zajišťujeme oprávn vněnému uživateli přístup p k datům v okamžiku jejich potřeby. Integrita Důvěrnost Bezpečnost Dostupnost
4 Autentizace a autorizace Počíta tačov ová bezpečnost Autentizace Ověř ěření totožnosti subjektu (uživatele, počíta tače, ). Autorizace 1001011011010000111111000011111101 Přístupové právo pro přístup p stup k určit itému souboru nebo pro provedení určit ité akce.
5 Protokol HTTP HTTP komunikace Obecně definuje pravidla pro komunikaci mezi klientem a serverem. Definuje tvar přenp enášených informací,, možnosti a nálen ležitosti dotazu a odpovědi. di. Verze 0.9 Velmi jednoduchá,, sloužila pouze k posílání dat po Internetu bez další ších informací o jejich obsahu. Verze 1.0 (RFC 1945) Doplněna na o hlavičky, popisující typ a atributy přenášených dat, další hlavičky obsahují pomocné informace či i parametry předp edávané mezi klientem a serverem. Verze 1.1 (RFC 2616) Řeší další požadavky, jako jsou hierarchická struktura proxy,, využívání cache,, trvalé spojení mezi klientem a serverem, nebo požadavky na virtuáln lní servery.
6 Činnost innost protokolu HTTP HTTP komunikace HTTP 1.0 Klient pošle požadavek na server, server klientovi odpoví a komunikace se uzavírá. Pro získz skání další ších dat musí klient navázat nové spojení. HTTP 1.1 Zavádí možnost trvalého spojení (klient pos (klient posílá všechny své požadavky na server a server mu po tomto spojení posílá své odpovědi) di). Trvalé spojení je chápáno jako implicitní (klient může e předpoklp edpokládat, dat, že e server udržuje uje trvalé spojení a naopak). Trval Spojení zůstává otevřeno, eno, dokud klient, nebo server spojení neukončí.
7 Formát t dotazu a odpovědi di HTTP komunikace Dotaz (request) Obsahuje dotazový řádek, hlavičky prázdný řádek a tělo t dotazu (můž Dotaz metoda cesta verze_http hlavičky [CRLF] tělo Odpověď ky (blíže e popisují dotaz), ůže e být prázdn zdné): ěď (response) Obsahuje stavový řádek, hlavičky a obsah odpovědi: di: verze_http stavový_kód d popis hlavičky [CRLF] obsah odpovědi di
8 Ukázka komunikace HTTP komunikace Dotaz GET / HTTP/1.1 Host: www.seznam.cz Connection: close User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) Accept-Encoding: gzip Accept-Charset Charset: : ISO-8859 8859-1,UTF-8;q=0.7,*;q=0.7 Cache-Control: Control: no-cache Accept-Language: de,en;q=0.7,en =0.7,en-us;q=0.3 Referer: : http://web-sniffer.net sniffer.net/ [CRLF] dotazový řádek hlavičky prázdný řádek
Odpověď 9 HTTP komunikace HTTP/1.1 200 OK Server: nginx/0.7.65 Date: Mon, 21 Mar 2011 18:41:40 GMT Content-Type: text/html; charset=utf =UTF-8 Transfer-Encoding: chunked Connection: close Cache-Control: Control: max-age=0, age=0, no-cache, must-revalidate Set-Cookie: city=mw==; Domain=.seznam.cz seznam.cz; ; expires=tue, 22-Mar Mar-2011 18:41:40 GMT; Path=/ Set-Cookie: hint=mtmwmdczmjkwmcwwow MTMwMDczMjkwMCwwOw==; Domain=.seznam.cz seznam.cz; ; expires=wed, 25-Feb Feb-2111 18:41:40 GMT; Path=/ X-XRDS-Location: http://id.seznam.cz/yadis Expires: Mon, 21 Mar 2011 18:41:40 GMT Pragma: : no-cache Content-Encoding: gzip [CRLF] <!DOCTYPE html> <html xmlns:fb="http://www.facebook.com/2008/fbml"> <head> <meta http-equiv="content equiv="content-type" content="text/html; charset=utf =utf-8" /> <meta http-equiv="x equiv="x-ua-compatible" content="ie=8" /> <meta name="application-name" name" content="seznam.cz Seznam.cz" " /> <title>seznam Najdu tam, co hledám</title> <!-- generated-date date - 19:41 21.03.2011 --> stavový řádek hlavičky prázdný řádek obsah odpovědi </body> </html>
10 HTTP komunikace Standardně nejsou HTTP požadavek ani odpověď serveru nijak šifrované. To se týká i: uživatelských jmen a hesel, osobních údajů vkládaných do formulářů adresa, datum narození, rodné číslo. slo. Pokud mám někdo přístup p k síťovs ové infrastruktuře, kudy data procházej zejí, může e je odposlouchávat. To se týká i hackerů,, kteří se dostali k přepp epínačům, směrova rovačům m apod. po cestě
11 Příklad HTTP komunikace HTTP komunikace Start Spustit Spustit cmd GET /
12 Protokol HTTPS (HyperText Transport Protocol Secure) Nadstavba protokolu HTTP. Komunikace je zabezpečena ena protokolem SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security SSL/TLS zajišťuje: Důvěrnost přenp enášených dat Data jsou symetricky šifrována. Integritu přenp enášených dat Data jsou zabezpečena ena pomocí MAC Code). Autentizaci Transport Layer Security). MAC (Message Authentication Jako výchozí je povinná autentizace serveru.
13 Průběh h SSL/TLS Client/Browser Client Hello Server Hello Key Exchange Server Cipher Suite Negotiation HTTP GET Data Transfer
14 Autentizace v HTTPS Standardně je povinná autentizace serveru. Když se klient (např.. webový prohlížeč) připojuje k (webovému) serveru mám jistotu, že e se připojil p ke správn vnému serveru. To je důled ležité při i zadávání hesel, čísel platebních karet apod. Phishing
15 Server posílá certifikát t serveru. Certifikát t uvádí jméno serveru a veřejný ejný klíč serveru. Protokol SSL/TLS dále d ověř ěří,, zda server mám k dispozici soukromý klíč odpovídaj dající certifikovanému veřejn ejnému klíči. Data se šifrují veřejným ejným klíčem serveru, jen správný server bude umět dešifrovat.
16 Certifikát Certifikát t serveru je podepsán vydávaj vající certifikační autoritou (CA). Tato podepisující CA musí být považov ována za důvěryhodnou. d Její certifikát t musí být uložen v seznamu důvěryhodných d CA.
17 Seznam důvěryhodných d CA Seznamy jsou uloženy v prohlížečích. Internet Explorer bere seznam z OS. Seznamy je možné konfigurovat. Na počátku jsou v seznamu i desítky CA, o kterých jste nikdy neslyšeli eli Těm m všem v automaticky důvěřd ěřujete.
18 Seznam důvěryhodných d CA ve WIE
19 Seznam důvěryhodných d CA v Google Chrome
20 Seznam důvěryhodných d CA v Mozilla Firefox
21 Certifikát t není podepsaný důvěryhodnou CA
22 Pokud přesto p pokračujete: Ve WIE červená výplň panelu Adresa, oznámen mení, že e certifikát je chybný.
Přid idání CA mezi důvěryhodn d ryhodné 23
24 Certifikát t je v pořádku Ve WIE bílá výplň panelu Adresa, znak zámku. z
25 EV (Extended Validation) certifik certifikát podepsaný důvěryhodnou d CA Má vyšší míru důvěry d ve shodu vlastníka domény s webovým serverem. Technicky ten stejný standard X.509 (s drobnou poznámkou). CA si více v ce žadatele o EV certifikát proklepne. Ve WIE zelená výplň panelu Adresa, informace o organizaci vlastnící tento certifikát. t.
26 Důvěra, nebo nedůvěra Pokud certifikát t není podepsán důvěryhodnou CA, nemusí to automaticky znamenat špatnou stránku. Naopak certifikát t podepsaný důvěryhodnou CA nemusí znamenat, že e na webové stránce nemůž ůže e být nějaký malware. Jednoduché řešení/návody pro uživatele u neexistují.
27 Jak zjistit, jaká CA podepsala certifikát t serveru?
Zobrazení certifikátů 28
29 Verze protokolů SSL a TLS Existuje několik n verzí protokolů: SSL 1.0, 2.0, 3.0; TLS 1.0, 1.1, 1.2. Dnes se považuj ují za bezpečné: SSL 3.0; TLS 1.0 nebo novější ší. Nastavení ve WIE Nástroje Možnosti Internetu Up Upřesnit Zabezpečen ení
Analýza aktivity na portech 80 a 443 30 Statistiky
31 Platné SSL certifikáty ty Statistiky
32 Kontrola certifikátu tu Statistiky Jméno počíta tače, časová platnost od-do, do, platný podpis, podpis vytvořen důvěryhodnou CA,
33 Chyby při p i ověř ěření certifikátů Statistiky 2010
34 2011 Statistiky
35 Úkoly do samostudia C6 Bezpečnost dat v Internetu 1. Charakterizovat počíta tačovou bezpečnost. 2. Objasnit HTTP a HTTPS komunikaci. 3. Vyhledat důvěryhodnd ryhodné certifikační autority a prohlédnout si certifikáty. ty.