Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Podobné dokumenty
Secure Shell. X Window.

SSL Secure Sockets Layer

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Zapomeňte už na FTP a přenášejte soubory bezpečně

Zajímavé funkce OpenSSH

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Informatika / bezpečnost

Úvod do Operačních Systémů

Směry rozvoje v oblasti ochrany informací PS 7

Základy šifrování a kódování

Úvod, jednoduché příkazy

Bezpečnost internetového bankovnictví, bankomaty

Tel.: (+420)

Linux a Vzdálená plocha

Bezpečnost vzdáleného přístupu. Jan Kubr

Šifrová ochrana informací věk počítačů PS5-2

SSH: dálková správa serveru

Metody zabezpečeného přenosu souborů

Šifrová ochrana informací věk počítačů PS5-2

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Šifrování dat, kryptografie

PSK2-16. Šifrování a elektronický podpis I

File Transfer Protocol (FTP)

Bezpečnostní mechanismy

Identifikátor materiálu: ICT-2-04

Ing. Jitka Dařbujanová. TCP/IP, telnet, SSH, FTP

Směry rozvoje v oblasti ochrany informací KS - 7

Autentizace uživatelů

GnuPG pro normální lidi

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Kryptografie - Síla šifer

Vzdálený přístup k počítačům

Správa přístupu PS3-2

PSK2-14. Služby internetu. World Wide Web -- www

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Internet Information Services (IIS) 6.0

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

ElGamal, Diffie-Hellman

INFORMAČNÍ BEZPEČNOST

C2110 Operační systém UNIX a základy programování

Operační systémy. Cvičení 1: Seznámení s prostředím

PA159 - Bezpečnostní aspekty

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

VPN - Virtual private networks

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Téma 1: Práce s Desktop. Téma 1: Práce s Desktop

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

Jan Hrdinka. Bakalářská práce

Uživatelská příručka

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

BEZPEČNOST INFORMACÍ

Otázka 22 Zadání. Předmět: A7B32KBE

Úvod - Podniková informační bezpečnost PS1-2

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Programové vybavení OKsmart pro využití čipových karet

Systém Přenos verze 3.0

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Další nástroje pro testování

Bezpečnost elektronických platebních systémů

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Operační systémy: funkce

Šifrování pro úplné začátečníky

SIM karty a bezpečnost v mobilních sítích

Vybrané aplikační protokoly. Telnet, SSH FTP, TFTP, NFS

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

PV157 Autentizace a řízení přístupu

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

asymetrická kryptografie

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

SSH nejen pro vzdálenou správu Linuxu

C2110 Operační systém UNIX a základy programování

KLASICKÝ MAN-IN-THE-MIDDLE

Ing. Jitka Dařbujanová. , SSL, News, elektronické konference

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace Základní pojmy

Digitální podepisování pomocí asymetrické kryptografie

MXI řešení nabízí tyto výhody

Identifikátor materiálu: ICT-3-03

Lekce 11 IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Uživatelská příručka Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2003

Certifikáty a jejich použití

Jindřich Hlavatý. Analýza PC. Technická zpráva. Městská část Praha 5List č. 1 z 5 Štefánikova 236/13, 246/15

Základy programování Operační systémy (UNIX) doc. RNDr. Petr Šaloun, Ph.D. VŠB-TUO, FEI (přednáška připravena z podkladů Ing. Michala Radeckého)

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Instalační manuál. Uživatelská příručka informačního systému. Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2010.

DSY-6. Přenosový kanál kódy pro zabezpečení dat Základy šifrování, autentizace Digitální podpis Základy měření kvality přenosu signálu

Příručka nastavení funkcí snímání

Instalační manuál. Uživatelská příručka informačního systému. Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2007.

Cryptelo je systém kompletně navržený a vyvinutý přímo naší společností. Aplikace šifrování do běžné praxe. Cryptelo chrání přímo vaše data

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Historie internetu. Historie internetu

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Transkript:

Přednáška 10 X Window. Secure shell. 1

X Window systém I Systém pro správu oken. Poskytuje nástroje pro tvorbu GUI (Graphical User Interface) a grafických aplikací. Nezávislý na hardwaru. Transparentní vůči sítím a OS. Historie 1984 počátek vývoje (Massachusetts Institute of Technology) 1985 verze 9 1986 X10R4 1987 X11R1 2

Architektura model klient/server X Window systém II dva nezávislé procesy, které spolu komunikují pomocí přesně definovaného X protokolu X server obsluhuje grafické zařízení (obrazovka, myš, klávesnice) a předává klientům zprávy o akcích uživatele každý X server může obsluhovat více X klientů X klient aplikace, která vysílá požadavky na otevírání oken, manipulaci s nimi a vykreslování textu a grafiky hardwarově nezávislý přenositelnost každý X klient může využívat služeb více X serverů 3

X Window systém III Komunikace mezi X klientem a X serverem je asynchronní: X klienti vysílají požadavky k serveru, kde jsou řazeny do fronty a postupně vyřizovány (zachovává se pořadí v čase, nemusí být vyřízeny okamžitě) X klient obvykle nečeká, ale může si synchronní zpracování požadavků vyžádat zpomalení systému X server je obvykle realizován softwarově, někdy je součástí hardware a firmwaru. 4

X Window systém IV Xlib knihovna nejnižší úroveň Intrinsics knihovna, která spravuje základní přípravky widget (tlačítka, lišty,...) Motif knihovna pro tvorbu GUI Správce oken např. FVWM, CDE, KDE, GNOME,... Aplikace xterm, xclock, xcalc,... 5

Příklady Správa přístupu k X serveru pomocí konfig. souboru /etc/x*.hosts pomocí příkazu xhost +počítač -počítač např. xhost +sunray1 dray1 Přesměrování grafických výstupů aplikací pomocí proměnné shellu DISPLAY DISPLAY=[počítač]:číslo_serveru.[obrazovka] např. export DISPLAY=počítač:0.0 pomocí přepínače d (-display) program d [počítač]:číslo_serveru.[obrazovka] např. xterm d sunray1:0.0 6

Příklady Nastavení parametrů xset nastavení chování např. xset b on/off (nastaveni zvonku) xset fp adresař (nastavení cesty k fontům) xterm g šířkaxvýška±xoff±yoff 7

Secure shell SSH Softwarové řešení síťového zabezpečení (na aplikační úrovni). Založené na architektuře klient/server klienti: ssh, slogin, scp (v Unixu) např. putty, winscp (MS Windows) server: sshd transportní protokol je TCP/IP a server obvykle naslouchá na portu 22 různé implementace SSH1, SSH2, OpenSSH,... Přehled vlastností: Soukromí (šifrování) = ochrana dat před rozkrytím (odposloucháváním) Integrita dat = garance, že se data nezmění během přenosu Autentizace =ověření identity (jak serveru tak uživatele) Autorizace = definice co smí příchozí uživatel dělat Směrování (tunelování) = zapouzdření jiného protokolu využívající služeb TCP/IP do šifrované relace SSH 8

Základy kryptografie I Šifrování (šifra) proces kódování dat takovým způsobem, aby je nebylo možné přečíst neoprávněnými osobami Šifrovací algoritmus konkrétní metoda, kterou se kódování provádí (např. DES, RSA, DSA,...) považuje se za bezpečný tehdy, když je pro ostatní osoby neproveditelné přečíst data bez znalosti klíče v současnosti nelze dokázat, že nějaký algoritmus je 100% bezpečný Kryptoanalýza pokus dešifrování dat bez znalosti klíče 9

Základy kryptografie II Symetrické šifry (šifry s tajným klíčem) k zašifrování a rozšifrování se používá tentýž klíč výhoda: rychlost šifrování/dešifrování nevýhoda: problém s distribucí klíče např. Blowfish, DES, IDEA, RC4 Asymetrické šifry (šifry s veřejnými klíči) používá se dvojce klíčů: veřejný a soukromý klíč data zašifrovaná veřejným klíčem lze rozšifrovat pouze jeho soukromým klíčem nelze odvodit soukromý klíč z veřejného výhoda: odpadá problém s distribucí klíče nevýhoda: pomalé šifrování/dešifrování např. RSA, DSA, ElGamal, Elliptic Curve,... 10

Ustanovení zabezpečeného spojení 1. Klient kontaktuje server (port TCP na serveru obvykle 22) 2. Klient a server si vzájemně sdělí jaké verze SSH podporují. 3. Server se identifikuje klientovi a dodá mu parametry relace veřejný klíč hostitele seznam šifrovacích, kompresních a autentizačních metod, které server podporuje 4. Klient odešle serveru tajný klíč relace (zašifrovaný pomocí veřejného klíče hostitele). 5. Obě strany zapnou šifrování a dokončí autentikaci serveru (klient čeká na potvrzovací zprávu od serveru). 11

Příklady Připojení na neznámý server (první připojení) $ ssh trdlicka@dray1.feld.cvut.cz The authenticity of host 'dray1.feld.cvut.cz (147.32.192.154)' can't be established RSA key fingerprint is d8:d4:05:fe:a7:b5:a1:42:6b:79:d4:58:3e:fe:44:1f. Are you sure you want to continue connecting (yes/no)? yes Pro kontrolu, zda dva klíče jsou stejné, se používá otisk klíče (fingerprint). Jak získat otisk klíče? $ ssh-keygen -l -f ssh_host_rsa_key.pub 1024 d8:d4:05:fe:a7:b5:a1:42:6b:79:d4:58:3e:fe:44:1f ssh_host_rsa_key.pub 12

Autentizace klienta Po ustanovení zabezpečeného spojení klient pokouší prokázat svou identitu (existuje několik metod): Heslem Veřejným klíčem klienta 1. klient pošle svůj veřejný klíč serveru (např. ~uživatela/.ssh/id_dsa.pub) 2. server se pokusí najít záznam o klíči (např ~uživatelb/.ssh/authorized_keys) 3. server vygeneruje náhodný řetězec, zašifruje ho veřejným klíčem klienta a pošle ho klientovi 4. klient rozšifruje zašifrovaný řetězec svým soukromým klíčem a pošle serveru 13

Příklady Jak najít problém při připojování sh v trdlicka@dray1.feld.cvut.cz 14

Příklady Vygenerování dvojce klíčů $ ssh-keygen -t dsa Klíče se explicitně uloží do souborů ~uživatela/.ssh/id_dsa ~uživatela/.ssh/id_dsa.pub (soukromý klíč) (veřejný klíč) Pokud zadáte přístupovou frázi, pak bude klíč zašifrován a při autorizaci pomocí klíče budete muset zadávat přístupovou frázi. Přidání veřejného klíče klienta do souboru na serveru ~uživatelb/.ssh/authorized_keys Autorizace pomocí veřejného klíče uživatela@klient$ ssh uživatelb@server uživatelb@server$ 15

Tunelování protokolu X11 Spojení přes protokol X lze přesměrovat přes SSH, které mu poskytne bezpečnost. Klient SSH si při připojení k serveru SSH vyžádá směrování protokolu X (musí být zapnuto na klientovi SSH a povoleno na serveru SSH): SSH server nastaví proměnnou DISPLAY=localhost:pořadové_číslo_serveru.0 SSH server začne poslouchat na lokálním portu 6000+pořadové_číslo_serveru a vše přeposílá na SSH klienta klient SSH se chová jako X klient a obdržené výstupy posílá X serveru 16

Příklad Připojení z počítača na počítačb a zapnutí tunelování X11 $ ssh X uživatel@počítačb 17

Tunelování portů (místní) I SSH klient na jedné straně přijímá požadavky na služby, zašifrované je posílá na SSh server, který je na druhé straně doručí cílovému příjemci. SSH tunel je pro aplikace transparentní. ssh L 2001:localhost:80 uživatel@počítačb 18

Tunelování portů (místní) II Jednotliví klienti a servery můžou běžet na různých počítačích. ssh g L 2001:počítačD:80 uživatel@počítačc 19

Tunelování portů (vzdálené) I ssh g R 2001:počítačD:80 uživatel@počítačc 20