Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS)

Transcript

1 Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

2 Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

3 Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα του ΤΕΙ Δυτικής Μακεδονίας και της Ανώτατης Εκκλησιαστικής Ακαδημίας Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

4 Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - SSL / TLS

5 Σκοποί ενότητας Σκοπός της ενότητας είναι η περιγραφή των εικονικών ιδιωτικών δικτύων επιπέδου μεταφοράς, του Secure Sockets Layer (SSL) και του Transport Layer Security (TLS). 5

6 Περιεχόμενα ενότητας (1/2) VPN επιπέδου 4. Γενική περιγραφή SSL. Ιστορία SSL. SSL Record Protocol. SSL Handshake Protocol. Αντοχή του SSL σε επιθέσεις. 6

7 Περιεχόμενα ενότητας (2/2) Αδυναμίες SSL. Εφαρμογές. 7

8 VPN επιπέδου 4 (1/2) Τα Εικονικά Ιδιωτικά Δίκτυα Επιπέδου 4 (Μεταφοράς) υλοποιούνται μέσω του πρωτοκόλλου SSL (Secure Sockets Layer) / TLS (Transport Layer Security). Στην κατηγορία των Εικονικών Ιδιωτικών Δικτύων Επιπέδου 4 (Μεταφοράς) εντάσσεται επίσης και το πρωτόκολλο Socket Secure (SOCKS). 8

9 VPN επιπέδου 4 (2/2) Στη συνέχεια. Περιγράφεται η τεχνολογία SSL VPN. Αναλύονται οι μηχανισμοί ασφάλειας. Αναφέρονται ενδεικτικές εφαρμογές τους. 9

10 VPN on SSL (1/8) Τα Εικονικά Ιδιωτικά Δίκτυα (VPN) Επιπέδου Μεταφοράς χρησιμοποιούν το πρωτόκολλο SSL (Secure Sockets Layer) ώστε να υλοποιούν επικοινωνίες μέσω επισφαλών καναλιών του Internet, διαφυλάσσοντας κάποιο συγκεκριμένο επίπεδο ασφάλειας. 10

11 VPN on SSL (2/8) Στην πραγματικότητα, ένα SSL VPN παρέχει στους τελικούς χρήστες εξουσιοδοτημένη και ασφαλή πρόσβαση σε εφαρμογές όπως HTTP, client/server και file sharing. 11

12 VPN on SSL (3/8) Το πρωτόκολλο SSL είναι οικείο στους περισσότερους χρήστες, ακόμα και σε εκείνους χωρίς ιδιαίτερο υπόβαθρο τεχνικών γνώσεων. Είναι ήδη εγκατεστημένο σε οποιοδήποτε ηλεκτρονικό υπολογιστή (H/Y) που είναι συνδεδεμένος στο Διαδίκτυο και χρησιμοποιεί έναν standard browser χωρίς κάποια ιδιαίτερη ρύθμιση. 12

13 VPN on SSL (4/8) Το SSL είναι ανεξάρτητο από το λειτουργικό σύστημα και επιτρέπει την κλιμάκωση στον έλεγχο πρόσβασης στις εφαρμογές, καθιστώντας το ιδανικό για «κινητούς» χρήστες που επιθυμούν να έχουν πρόσβαση από ένα μη «ασφαλές» άκρο (endpoint). 13

14 VPN on SSL (5/8) Το πρωτόκολλο SSL είναι δυνατόν να προσφέρει έλεγχο πρόσβασης σε extranet VPNs ή VPNs απομακρυσμένης πρόσβασης. Επίσης ο χρήστης, μέσω ενός SSL VPN, έχει πρόσβαση σε εφαρμογές Web από οπουδήποτε με την απλή χρήση ενός Web browser, μίας σύνδεσης στο Internet, και χωρίς την ανάγκη ύπαρξης κάποιου ιδιαίτερου λογισμικού στον υπολογιστή του. 14

15 VPN on SSL (6/8) Τα SSL VPNs μπορούν να «περάσουν» πάνω από firewalls και να αντιμετωπίσουν θέματα Network Address Translation (NAT), ζητήματα τα οποία επιλύονται δύσκολα στην περίπτωση των Internet Protocol Security (Ipsec) VPNs. 15

16 VPN on SSL (7/8) H ασφαλής σύνδεση που παρέχεται με το πρωτόκολλο SSL επιτυγχάνεται μέσω. a. Της πιστοποίησης της ταυτότητας των πλευρών που επικοινωνούν. b. Της κρυπτογράφησης της κίνησης που πραγματοποιείται μεταξύ τους. 16

17 VPN on SSL (8/8) Διευκρινίζεται ότι τα SSL VPNs αφορούν εφαρμογές που υποστηρίζουν το πρωτόκολλο SSL, όπως για παράδειγμα Web browsers και Web-based . Η ασφάλεια των SSL VPNs βασίζεται στους μηχανισμούς ασφάλειας του πρωτοκόλλου SSL. 17

18 Ιστορία SSL (1/4) Το πρωτόκολλο SSL αναπτύχθηκε από την Netscape Communications Corporation για την ασφαλή επικοινωνία ευαίσθητων πληροφοριών όπως προσωπικά στοιχεία και αριθμούς πιστωτικών καρτών. 18

19 Ιστορία SSL (2/4) Η πρώτη σχεδίαση του πρωτοκόλλου έγινε τον Ιούλιο του 1994 και αποτελούσε την πρώτη έκδοση (version 1.0) και τον Οκτώβριο του ίδιου χρόνου δημοσιοποιήθηκε υπό την μορφή Request For Comments (RFC). Τον Δεκέμβριο του 1994 εκδίδεται μια επαναθεώρηση του πρωτοκόλλου, η δεύτερη έκδοση του (version 2.0). 19

20 Ιστορία SSL (3/4) Ωστόσο, το SSL version 2.0 είχε αρκετούς περιορισμούς τόσο ως προς την κρυπτογραφική ασφάλεια όσο και ως προς τη λειτουργικότητά του. Έτσι το πρωτόκολλο αναβαθμίστηκε σε SSL version 3.0 με δημόσια αναθεώρηση και σημαντική συνεισφορά από τη βιομηχανία. Αυτή η νέα έκδοση του πρωτοκόλλου SSL τέθηκε επισήμως σε κυκλοφορία το Δεκέμβριο του

21 Ιστορία SSL (4/4) Η περιγραφή του SSL βασίζεται σε αυτές τις τελευταίες προδιαγραφές του πρωτοκόλλου. H τελευταία έκδοση του SSL μετεξελίχτηκε στο Transport Layer Security (TLS). 21

22 Πρωτόκολλο SSL (1/2) Το πρωτόκολλο SSL στρωματοποιείται στην κορυφή μίας αξιόπιστης υπηρεσίας μεταφοράς όπως εκείνη που παρέχεται από το TCP/IP και είναι σε θέση να παρέχει υπηρεσίες ασφάλειας για αυθαίρετες TCP/IP εφαρμογές. 22

23 Πρωτόκολλο SSL (2/2) Ένα σημαντικό πλεονέκτημα της ασφάλειας επιπέδου μεταφοράς γενικά και του SSL ειδικότερα είναι η ανεξαρτησία από την εφαρμογή, που σημαίνει ότι μπορεί να χρησιμοποιηθεί για να παρέχει ασφάλεια διαφανώς (transparently) σε οποιαδήποτε TCP/IP εφαρμογή στρωματοποιείται στην κορυφή του. 23

24 Αναπαράσταση Πρωτοκόλλου SSL Σχήμα 1. Αναπαράσταση του πρωτοκόλλου SSL. 24

25 Ιδιότητες Πρωτοκόλλου SSL (1/2) Το πρωτόκολλο SSL παρέχει TCP/IP ασφάλεια σύνδεσης μεταξύ δύο συστημάτων, από τα οποία το ένα λειτουργεί σαν server (εξυπηρετητής) και το άλλο σαν client (πελάτης). 25

26 Ιδιότητες Πρωτοκόλλου SSL (2/2) Αυτή η ασφάλεια έχει τρεις βασικές ιδιότητες. Γίνεται πιστοποίηση ταυτότητας και των δύο χρηστών, μέσω κρυπτογραφίας δημόσιου κλειδιού. Επιτυγχάνεται εμπιστευτικότητα των μεταδιδόμενων δεδομένων μέσω κρυπτογράφησης. Προστατεύεται η ακεραιότητα των μεταδιδόμενων δεδομένων με χρήση Message Authentication Codes (MACs). 26

27 Αρχιτεκτονική του SSL Τα δύο βασικά πρωτόκολλα του SSL είναι. Tο SSL Record Protocol και το SSL Handshake Protocol. Σχήμα 2. Η διαστρωμάτωση των πρωτοκόλλων του SSL. 27

28 Σύνοδος SSL (1/2) Μία σύνοδος του SSL πρωτοκόλλου εξελίσσεται αξιοποιώντας γνώση από διαδοχή προγενέστερων καταστάσεων. Είναι η ευθύνη του πρωτοκόλλου SSL και συγκεκριμένα του SSL Handshake Protocol να συντονίσει τις καταστάσεις συνόδου και σύνδεσης τόσο από την πλευρά του πελάτη όσο και από την πλευρά του εξυπηρετητή. 28

29 Σύνοδος SSL (2/2) Τα επικοινωνούντα μέρη μπορούν να έχουν πολλαπλές ταυτόχρονες συνόδους, καθώς επίσης και συνόδους με πολλαπλές συνδέσεις. 29

30 SSL Record Protocol (1/2) Το SSL Record Protocol παρέχει υπηρεσίες. Εμπιστευτικότητας. Ακεραιότητας δεδομένων. Προστασίας από επιθέσεις με επανεκπομπή μηνυμάτων. 30

31 SSL Record Protocol (2/2) Αρκετά πρωτόκολλα SSL μπορούν να στρωματοποιούνται πάνω από το SSL Record Protocol. Το σημαντικότερο από αυτά τα πρωτόκολλα είναι το SSL Handshake Protocol. 31

32 Λειτουργίες SSL Record Protocol (1/3) Το SSL Record Protocol λαμβάνει δεδομένα από πρωτόκολλα υψηλότερων επιπέδων και πραγματοποιεί κατακερματισμό (fragmentation), συμπίεση και κρυπτογράφηση δεδομένων. 32

33 Λειτουργίες SSL Record Protocol (2/3) Σχήμα 3. Λειτουργίες SSL Record Protocol. 33

34 Λειτουργίες SSL Record Protocol (3/3) Κάθε ωφέλιμο φορτίο δεδομένων SSL Record Protocol μπορεί να συμπιέζεται και να κρυπτογραφείται σύμφωνα με την τρέχουσα μέθοδο συμπίεσης και τον αλγόριθμο κρυπτογράφησης (που έχουν οριστεί από το SSL Handshake Protocol). 34

35 Αλγόριθμοι Κρυπτογράφησης (1/2) Block Cipher Αλγόριθμος Μέγεθος Κλειδιού Stream Cipher Αλγόριθμος Μέγεθος Κλειδιού IDEA 128 RC RC RC DES DES 56 3DES 168 Fortezza 80 35

36 Αλγόριθμοι Κρυπτογράφησης (2/2) Σημείωση: Όταν η ασφάλεια είναι πολύ κρίσιμη, το μέγεθος του κλειδιού πρέπει να είναι τουλάχιστον 128 bits. 36

37 SSL Handshake Protocol (1/3) Το SSL Handshake Protocol είναι το κυριότερο πρωτόκολλο από αυτά που βρίσκονται ένα στρώμα ψηλότερα από το SSL Record Protocol. 37

38 SSL Handshake Protocol (2/3) Το SSL Handshake Protocol, είναι ένα πρωτόκολλο αυθεντικοποίησης και ανταλλαγής κλειδιών το οποίο διαπραγματεύεται τους αλγόριθμους κρυπτογράφησης που θα χρησιμοποιηθούν και πραγματοποιεί την πιστοποίηση της ταυτότητας του server και εάν ζητηθεί και του client. 38

39 SSL Handshake Protocol (3/3) Μετά την ολοκλήρωση του SSL Handshake Protocol, τα δεδομένα των εφαρμογών μπορούν να αποστέλλονται μέσω του SSL Record Protocol ακολουθώντας τις συμφωνημένες παραμέτρους ασφάλειας. 39

40 Σκοπός SSL Handshake Protocol Σκοπός του SSL Handshake Protocol είναι να υποχρεώνει έναν πελάτη (client) και έναν εξυπηρετητή (server). Να καθιερώνουν τα πρωτόκολλα που θα χρησιμοποιηθούν κατά τη διάρκεια της επικοινωνίας. Να επιλέγουν τη μέθοδο συμπίεσης και την προδιαγραφή κρυπτογραφίας. Να αυθεντικοποιούνται αμοιβαία. Να δημιουργούν ένα κύριο μυστικό κλειδί (master secret key), από το οποίο προκύπτουν διάφορα κλειδιά συνόδου για αυθεντικοποίηση και κρυπτογράφηση μηνυμάτων. Ακολουθεί η παρουσίαση των (4) βημάτων της διαδικασίας SSL Handshake Protocol. 40

41 1ο Βήμα SSL Handshake Protocol Ο client συνδέεται με τον server και ζητά να τον πιστοποιήσει. Ο client ενημερώνει για το ποιους αλγορίθμους κρυπτογράφησης υποστηρίζει. Ο server από την πλευρά του επιβεβαιώνει το αν μπορεί να υποστηρίξει τους αλγορίθμους αυτούς. Ο server αποδίδει και έναν μοναδικό αριθμό (connection-id) στη σύνδεση που έχει δημιουργηθεί. 41

42 2ο Βήμα SSL Handshake Protocol Ο server αποδεικνύει την ταυτότητά του με την αποστολή του ψηφιακού του πιστοποιητικού. Τα πιστοποιητικά επαληθεύονται με τον έλεγχο των ημερομηνιών εγκυρότητας, καθώς και από το γεγονός ότι το πιστοποιητικό φέρει την υπογραφή μίας διαπιστευμένης αρχής πιστοποιητικού. Υπάρχει η δυνατότητα, προαιρετικά, ο server να ζητήσει πιστοποίηση ταυτότητας από τον client. 42

43 3ο Βήμα SSL Handshake Protocol (1/2) Εάν ο server έχει ζητήσει πιστοποιητικό γνησιότητας από τον client, αυτός το αποστέλλει. Επίσης πραγματοποιείται η διαπραγμάτευση για τον αλγόριθμο κρυπτογράφησης μηνύματος, καθώς και για τη συνάρτηση κατακερματισμού. Συνήθως ο server επιλέγει την πιο ισχυρή μέθοδο κρυπτογράφησης από αυτές που του πρότεινε ο client. 43

44 3ο Βήμα SSL Handshake Protocol (2/2) Ταυτόχρονα, ο client και ο server παράγουν τα κλειδιά συνόδου σύμφωνα με τα ακόλουθα βήματα. a) Ο client παράγει έναν τυχαίο αριθμό τον οποίο στέλνει στον server, κρυπτογραφημένο με το δημόσιο κλειδί του server (που έχει αποκτηθεί από το πιστοποιητικό του server). b) Ο server απαντά με περισσότερα τυχαία δεδομένα. (κρυπτογραφημένα με το δημόσιο κλειδί του client, αν είναι διαθέσιμο. Αλλιώς, στέλνει τα δεδομένα μη κρυπτογραφημένα - cleartext). c) Τα κλειδιά κρυπτογράφησης παράγονται από όλα αυτά τα τυχαία δεδομένα με τη χρήση των συναρτήσεων κατακερματισμού. 44

45 4ο Βήμα SSL Handshake Protocol Ανταλλάσσονται μηνύματα τερματισμού των διαδικασιών του SSL Handshake Protocol. 45

46 Πρακτική χρήση πρωτοκόλλου SSL (1/4) Σήμερα, το πρωτόκολλο SSL είναι το πιο διαδεδομένο πρωτόκολλο ασφάλειας για το Internet. Μειονέκτημα της χρήσης του αποτελεί το γεγονός ότι επιβραδύνεται η επικοινωνία του browser του client με τον Hypertext Transfer Protocol Secure (HTTPS) server. 46

47 Πρακτική χρήση πρωτοκόλλου SSL (2/4) Η καθυστέρηση οφείλεται στις λειτουργίες κρυπτογράφησης και αποκρυπτογράφησης με ασύμμετρο κρυπτοσύστημα κατά την αρχικοποίησης της SSL συνόδου. 47

48 Πρακτική χρήση πρωτοκόλλου SSL (3/4) Οι χρήστες αντιλαμβάνονται μικρή καθυστέρηση λίγων δευτερολέπτων μεταξύ της έναρξης σύνδεσης με το HTTPS εξυπηρετητή και της ανάκτησης της πρώτης Hyper Text Markup Language (HTML) σελίδας από αυτόν. Επειδή κατά τη σχεδίαση του SSL αποθηκεύεται το κύριο μυστικό κλειδί, η καθυστέρηση επηρεάζει μόνον την πρώτη SSL επικοινωνία μεταξύ browser και HTTPS server. 48

49 Πρακτική χρήση πρωτοκόλλου SSL (4/4) Συγκριτικά με την εγκατάσταση συνόδου, ο επιπλέον φόρτος από τη λειτουργία αλγορίθμων όπως οι Data Encryption Standard (DES), RC2, RC4, είναι πρακτικά ασήμαντος. 49

50 Αντοχή του πρωτοκόλλου SSL σε επιθέσεις (1/2) Το πρωτόκολλο SSL δεν παρέχει προστασία έναντι επιθέσεων ανάλυσης κυκλοφορίας (traffic analysis). Για παράδειγμα, ένας αναλυτής κυκλοφορίας εξετάζοντας τις μη κρυπτογραφημένες Internet Protocol (IP) διευθύνσεις αποστολέα και παραλήπτη, καθώς και τους Transmission Control protocol (TCP) αριθμούς θυρών, μπορεί τελικά να καταγράψει ποια μέρη αλληλεπιδρούν ή ποιοι τύποι υπηρεσιών χρησιμοποιούνται. 50

51 Αντοχή του πρωτοκόλλου SSL σε επιθέσεις (2/2) Στη συνέχεια θα αναφερθεί η «αντοχή» του πρωτοκόλλου SSL σε κάποια είδη επιθέσεων καθώς επίσης και οι αδυναμίες του. 51

52 Επίθεση Dictionary Attack (1/2) H επίθεση Dictionary Attack μπορεί να εφαρμοστεί από έναν «επιτιθέμενο» όταν ένα μέρος του μη κρυπτογραφημένου κειμένου είναι στην κατοχή του. Τότε το μέρος αυτό κρυπτογραφείται με χρήση κάθε πιθανού κλειδιού και έπειτα ερευνάται ολόκληρο το κρυπτογραφημένο μήνυμα μέχρι να βρεθεί κομμάτι του που να ταιριάζει με κάποιο από τα προϋπολογισμένα. 52

53 Επίθεση Dictionary Attack (2/2) Σε περίπτωση που η έρευνα έχει επιτυχία, τότε το κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση ολόκληρου του μηνύματος έχει βρεθεί. Το SSL δεν απειλείται από αυτήν την επίθεση όταν τα κλειδιά των αλγορίθμων είναι μεγέθους τουλάχιστον 128 bits. 53

54 Επίθεση Brute Force Attack (1/2) H επίθεση Brute Force Attack πραγματοποιείται με την χρήση όλων των πιθανών κλειδιών για την αποκρυπτογράφηση των μηνυμάτων. Όσο πιο μεγάλα σε μήκος είναι τα χρησιμοποιούμενα κλειδιά, τόσο πιο πολλά είναι τα πιθανά κλειδιά. 54

55 Επίθεση Brute Force Attack (2/2) Τέτοια επίθεση σε αλγορίθμους που χρησιμοποιούν κλειδιά των 128 bits και άνω είναι χωρίς νόημα. Αφού το πλήθος των 2128 κλειδιών που καλείται να υπολογίσει κανείς είναι απίστευτα μεγάλος αριθμός. 55

56 Επίθεση Replay Attack (1/3) H επίθεση Replay Attack συμβαίνει όταν ένας τρίτος καταγράφει την ανταλλαγή μηνυμάτων μεταξύ client και server και προσπαθεί ξανά να χρησιμοποιήσει τα μηνύματα του client για να αποκτήσει πρόσβαση στο server. 56

57 Επίθεση Replay Attack (2/3) Το πρωτόκολλο SSL κάνει χρήση του connection-id, το οποίο παράγεται από τον SSL server με τυχαίο τρόπο και διαφέρει για κάθε σύνοδο. Κάθε σύνοδος έχει το δικό της connection-id, που ορίζεται κατά την έναρξη των διαδικασιών του SSL Handshake Protocol. 57

58 Επίθεση Replay Attack (3/3) Δεν είναι δυνατόν να υπάρχουν δύο σύνοδοι με ίδια connection-id. Το connection-id έχει μέγεθος 128 bits για πρόσθετη ασφάλεια. 58

59 Επίθεση Man-In-The-Middle (1/2) H επίθεση Man-In-The-Middle συμβαίνει όταν ένας τρίτος είναι σε θέση να παρεμβάλλεται στην επικοινωνία μεταξύ του server και του client. Αφού επεξεργαστεί τα μηνύματα του client και τα τροποποιήσει όπως αυτός επιθυμεί, τα προωθεί στον server. 59

60 Επίθεση Man-In-The-Middle (2/2) Ομοίως και για τα μηνύματα που προέρχονται από το server. Προσποιείται στον client ότι είναι ο server και αντίστροφα. Το πρωτόκολλο SSL υποχρεώνει τον server να αποδεικνύει την ταυτότητα του με την χρήση έγκυρου πιστοποιητικού του οποίου η τροποποίηση είναι αδύνατη. Συνεπώς, ο επιτιθέμενος δεν μπορεί να πείσει τον client ότι είναι ο server. 60

61 Αδυναμίες του πρωτοκόλλου SSL (1/3) Η μεγαλύτερη αδυναμία του πρωτοκόλλου είναι η ευαισθησία των αλγόριθμων που χρησιμοποιούν μικρά κλειδιά. Συγκεκριμένα, οι RC4-40, RC2-40 και DES-56 εισάγουν σοβαρά προβλήματα ασφάλειας και πρέπει ν αποφεύγονται. 61

62 Αδυναμίες του πρωτοκόλλου SSL (2/3) Επιπλέον, από τη στιγμή που μία σύνδεση δημιουργηθεί, το ίδιο master key χρησιμοποιείται καθ' όλη την διάρκεια της. Όταν το πρωτόκολλο SSL χρησιμοποιείται πάνω από μια μακρόχρονη σύνδεση (π.χ. μιας TELNET εφαρμογής), η αδυναμία αλλαγής του master key γίνεται επικίνδυνη. 62

63 Αδυναμίες του πρωτοκόλλου SSL (3/3) Η καλύτερη μέθοδος επίλυσης αυτού του προβλήματος είναι η επαναδιαπραγμάτευση του κλειδιού σε τακτά χρονικά διαστήματα, μειώνοντας έτσι την πιθανότητα μιας επιτυχούς Brute Force Attack. 63

64 Σύγκριση SSL και IPsec (1/3) Tο βασικό μειονέκτημα ενός Εικονικού Ιδιωτικού Δικτύου που βασίζεται στο πρωτόκολλο SSL είναι οι περιορισμένες εφαρμογές που μπορεί να εξυπηρετήσει (μόνο εφαρμογές απομακρυσμένης πρόσβασης και όχι δίκτυο-προς-δίκτυο, οι οποίες μπορούν να υποστηριχτούν από το IPsec). 64

65 Σύγκριση SSL και IPsec (2/3) H μεγάλη πληθώρα αναγκών που καλύπτει το IPsec δεν καλύπτονται από το πρωτόκολλο SSL. Από την άλλη, το πρωτόκολλο SSL υπερτερεί σε σχέση με το IPsec ως προς το κόστος αλλά και την πολυπλοκότητα υλοποίησης. 65

66 Σύγκριση SSL και IPsec (3/3) Εφαρμογές SSL Οτιδήποτε σχετικό με web, ανταλλαγή αρχείων ή IPsec Όλες όσες βασίζονται σε IP Κρυπογράφηση Ισχυρή ( 128 bits) Ισχυρή ( 128 bits, 168bits) Πιστοποίηση ταυτότητας Ψηφιακά πιστοποιητικά Κόστος Χαμηλό Υψηλό Πολυπλοκότητα υλοποίησης Χαμηλή Ψηφιακά πιστοποιητικά Υψηλή 66

67 Εφαρμογές πρωτοκόλλου SSL (1/6) Η πιο κοινή εφαρμογή του πρωτοκόλλου SSL είναι η διασφάλιση των επικοινωνιών παρέχοντας κρυπτογράφηση σε επίπεδο εφαρμογής μεταξύ του web browser και του web server που βασίζονται στο Hyper Text Transfer Protocol. 67

68 Εφαρμογές πρωτοκόλλου SSL (2/6) Η ασφαλής έκδοση του HTTP χρησιμοποιεί Uniform Resource Locators (URLs) που ξεκινούν με "https" αντί του κανονικού "http" και διαφορετική θύρα (port 443) από την προκαθορισμένη (port 80). Επίσης, το πρωτόκολλο SSL υλοποιεί χαρακτηριστικά VPN αφού παρέχει κρυπτογράφηση δεδομένων, πιστοποίηση του server και προαιρετικά της ταυτότητας του client και εξασφαλίζει την ακεραιότητα των δεδομένων. 68

69 Εφαρμογές πρωτοκόλλου SSL (3/6) Τα SSL VPNs είναι κατάλληλα για να παρέχουν ασφάλεια σε εφαρμογές απομακρυσμένης πρόσβασης, όπως εφαρμογές Web, εφαρμογές client/server και εφαρμογές file sharing. 69

70 Εφαρμογές πρωτοκόλλου SSL (4/6) Χρησιμοποιείται διεθνώς για μεταφορά ευαίσθητων οικονομικά δεδομένων. Πιο συγκεκριμένα, το SSL χρησιμοποιείται γενικά σε διακομιστές Web για την υποστήριξη. Εφαρμογών ηλεκτρονικού εμπορίου. Ηλεκτρονικών τραπεζικών υπηρεσιών. Άλλων εφαρμογών που απαιτούν ασφάλεια των επικοινωνιών. 70

71 Εφαρμογές πρωτοκόλλου SSL (5/6) Για παράδειγμα, το SSL εμποδίζει την υποκλοπή ευαίσθητων πληροφοριών (π.χ. αριθμοί πιστωτικών καρτών, υπόλοιπο λογαριασμών και άλλα οικονομικά και προσωπικά στοιχεία) που στέλνονται μέσω Internet μεταξύ του browser του χρήστη και ενός διακομιστή web κατά τη διάρκεια ηλεκτρονικών συναλλαγών. 71

72 Εφαρμογές πρωτοκόλλου SSL (6/6) Αυτό επιτυγχάνεται με την κρυπτογράφηση των προσωπικών στοιχείων του χρήστη πριν απομακρυνθούν από τον υπολογιστή του, κατά τέτοιο τρόπο ώστε να μην είναι εφικτή η ανάγνωση από τρίτα άτομα. 72

73 Βιβλιογραφία (1/2) 1. Building a Virtual Private Network by Meeta Gupta, Publisher: Premier Press, Pub Date: 2003, Print ISBN: Comparing, Designing, and Deploying VPNs by Mark Lewis, Publisher: Cisco Press, Pub Date: April 12, 2006, Print ISBN: The Complete Cisco VPN Configuration Guide by Richard Deal, Publisher: Cisco Press, Pub Date: December 15, 2005, ISBN:

74 Βιβλιογραφία (2/2) 4. Troubleshooting Virtual Private Networks by Mark Lewis, Publisher: Cisco Press, Pub Date: May 27, 2004, Print ISBN: CCSP self-study : Cisco Secure Virtual Private Networks (CSVPN) 2nd Edition, by Andrew G. Mason, Publisher: Cisco Press, Pub Date: May 19, 2004, Print ISBN:

75 Τέλος Ενότητας 75