Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

Σχετικά έγγραφα
ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

Δίκτυα Υπολογιστών Ενότητα 10: Ethernet και ARP

Δίκτυα Υπολογιστών Ενότητα 7: Internet Control Message Protocol - ICMP

Δίκτυα Υπολογιστών Ενότητα 9: Dynamic Host Configuration Protocol- DHCP

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Ασφάλεια Υπολογιστικών Συστημάτων

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

Δίκτυα Υπολογιστών Ενότητα 5: User Datagram Protocol - UDP

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Ασφάλεια Πληροφοριακών Συστημάτων Ασφάλεια στο WWW

Ασφάλεια στο WWW SSL/TLS

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS)

Ασφάλεια Υπολογιστικών Συστημάτων

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 7: Διευθυνσιοδότηση Internet Protocol (IP) v4

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων

Ασφάλεια Υπολογιστικών Συστημάτων

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

ΜΑΘΗΜΑ: Δίκτυα Υψηλών Ταχυτήτων

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Σχεδιασμός Εικονικών Δικτύων Ενότητα 9: Συγκριτική Παρουσίαση βασικών τεχνολογιών VPN

ΕΠΛ 674: Εργαστήριο 1 Ασφάλεια Επικοινωνιακών Συστημάτων - Κρυπτογραφία

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

YΒΡΙΔΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Ανάλυση Δικτυακής Κίνησης Πρωτοκόλλων Υπηρεσιών. Ασφάλεια Δικτύων. (4 η άσκηση) Διαχείριση Δικτύων - Ευφυή Δίκτυα, 9 ο Εξάμηνο,

Αλγόριθµοι δηµόσιου κλειδιού

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Εισαγωγή στην Πληροφορική

Ειδικά Θέματα Προγραμματισμού

Εισαγωγή στην Πληροφορική

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Περιεχόµενα. Ασφάλεια σε επίπεδο µεταφοράς και εφαρµογών SSL / TLS SSH. Ασφάλεια ικτύων, Τµήµα Πληροφορικής, Ο.Π.Α., ρ. Ι.

Ασφάλεια Υπολογιστικών Συστηµάτων

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Δίκτυα Υπολογιστών ΙΙ (Ασκήσεις Πράξης)

Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου. Πληροφορική Ι. Ενότητα 10 : Ασφάλεια. Δρ. Γκόγκος Χρήστος

Εισαγωγή στην πληροφορική

Ασφάλεια Υπολογιστικών Συστημάτων

Δίκτυα Υπολογιστών Ενότητα 8: Internet Protocol - IP

Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου Τμήμα Τηλεπληροφορικής & Διοίκησης

Ασφάλεια Υπολογιστικών Συστημάτων

Πρωτόκολλα Ασφάλειας IΙ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Ασφάλεια Υπολογιστικών Συστημάτων

Π Α Ν Ε Π Ι Σ Τ Η Μ Ι Ο Π ΑΤ Ρ Ω Ν

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

Ασφάλεια ικτύων (Computer Security)

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 9: MPLS

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Πρόγραμμα Μεταπτυχιακών Σπουδών (Π.Μ.Σ.) Ασφάλεια Δικτύων. Δρ. Κωνσταντίνος Παπαπαναγιώτου

Προγραμματισμός Ηλεκτρονικών Υπολογιστών 1

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4α: VPN on IPSec

Ασφάλεια Υπολογιστικών Συστημάτων

ρ. Κ. Σ. Χειλάς, ίκτυα Η/Υ ΙΙΙ, Τ.Ε.Ι. Σερρών, 2007

Ασφάλεια Πληροφοριακών Συστημάτων

ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #11: Ασφάλεια δικτύων

Τεχνολογία Πολυμέσων. Ενότητα # 17: Πρωτόκολλα μετάδοσης Διδάσκων: Γεώργιος Ξυλωμένος Τμήμα: Πληροφορικής

Web Services Security. Μέρος ΙΙ

Οδηγίες Εγκατάστασης και Χρήσης Ψηφιακών Πιστοποιητικών

Ασφάλεια Πληροφοριακών Συστημάτων

Περιεχόμενα. Πλευρές Ασφάλειας Ιδιωτικό Απόρρητο. Ψηφιακή Υπογραφή. Ψηφιακά Πιστοποιητικά Τα πρωτόκολλα SSL και SET

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #11: Ασφάλεια δικτύων

Μελέτη Πρωτοκόλλων Κρυπτογραφίας

Συστήματα Αναμονής. Ενότητα 1: Εισαγωγή. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Δίκτυα Υπολογιστών Ενότητα 1: Αναλυτής Πρωτοκόλλων Wireshark

Εισαγωγή στην επιστήμη των υπολογιστών. Υλικό Υπολογιστών Κεφάλαιο 6ο ίκτυα υπολογιστών

Σχεδίαση Δικτύων Υπολογιστών

Πρωτόκολλα Επικοινωνίας Πρωτόκολλο IP

Εισαγωγή στην Κρυπτογραφία και τις Ψηφιακές Υπογραφές

Σχεδίαση Δικτύων Υπολογιστών

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

Οδηγίες αξιοποίησης για τον Εκπαιδευτικό

Εισαγωγή στην πληροφορική

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. Συναρτήσεις Κατακερματισμού

Ασφάλεια Πληροφοριακών Συστημάτων

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 7: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

Διαδικτυακές Εφαρμογές Ενότητα 7: Προσπέλαση ΒΔ με το JDBC

Ειδικά Θέματα Δικτύων Ι

Λογιστική Κόστους Ενότητα 12: Λογισμός Κόστους (2)

Δίκτυα Υπολογιστών I

Πρωτόκολλα Διαδικτύου

6.2 Υπηρεσίες Διαδικτύου

ΜΑΘΗΜΑ: Διαδικτυακές Εφαρμογές

Transcript:

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL Μιχάλας Άγγελος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα του ΤΕΙ Δυτικής Μακεδονίας και της Ανώτατης Εκκλησιαστικής Ακαδημίας Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Secure Sockets Layer - SSL

Σκοποί ενότητας Σε αυτή την ενότητα παρουσιάζεται το πρωτόκολλο SSL. 5

Περιεχόμενα ενότητας (1/4) Εισαγωγή. Περιγραφή του SSL. Τρόπος λειτουργίας. Χειραψία μεταξύ client και server. Τρόπος λειτουργίας Συνέχεια. Ανιχνεύοντας το SSL με το Wireshark. 6

Περιεχόμενα ενότητας (2/4) Παράδειγμα ανίχνευσης μηνυμάτων SSL. Καταγράφοντας πακέτα σε μία συνδιάλεξη SSL. Μία ματιά στην καταγεγραμμένη ανίχνευση. Πίνακας συγκεντρωτικών στοιχείων των καταγραφών SSL. Καταγραφές SSL μεταξύ πελάτη-διακομιστή. 7

Περιεχόμενα ενότητας (3/4) Το SSL μήνυμα Client Hello. Καταγραφή Client Hello. Το SSL μήνυμα Server Hello. Καταγραφή Server Hello. Σημεία άξια αναφοράς. Ανάλυση καταγραφών. 8

Περιεχόμενα ενότητας (4/4) Δεδομένα εφαρμογής. Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και content distribution network (CDN). Το παράθυρο του Wireshark μετά την εφαρμογή του φίλτρου ssl. 9

Εισαγωγή (1/3) Το πρωτόκολλο SSL (Secure Sockets Layer) αναπτύχθηκε από την εταιρεία Netscape και σχεδιάστηκε για να παρέχει ασφάλεια κατά την μετάδοση ευαίσθητων δεδομένων στο Διαδίκτυο. 10

Εισαγωγή (2/3) Η έκδοση 3.0 του πρωτοκόλλου κυκλοφόρησε από την Netscape το 1996 και αποτέλεσε την βάση για την μετέπειτα ανάπτυξη του πρωτοκόλλου TLS (Transport Layer Security). Tο οποίο πλέον τείνει να αντικαταστήσει το SSL. 11

Εισαγωγή (3/3) Τα δύο αυτά πρωτόκολλα χρησιμοποιούνται ευρέως για ηλεκτρονικές αγορές και χρηματικές συναλλαγές μέσω του διαδικτύου. 12

Περιγραφή του SSL (1/7) Το SSL χρησιμοποιεί μεθόδους κρυπτογράφησης των δεδομένων που ανταλλάσσονται μεταξύ δύο συσκευών (συνηθέστερα Ηλεκτρονικών Υπολογιστών) εγκαθιδρύοντας μία ασφαλή σύνδεση μεταξύ τους μέσω του διαδικτύου. 13

Περιγραφή του SSL (2/7) Το πρωτόκολλο αυτό χρησιμοποιεί το Transmission Control Protocol (TCP)/ Internet protocol (IP) για τη μεταφορά των δεδομένων και είναι ανεξάρτητο από την εφαρμογή που χρησιμοποιεί ο τελικός χρήστης. Για τον λόγο αυτό μπορεί να παρέχει υπηρεσίες ασφαλούς μετάδοσης πληροφοριών σε πρωτόκολλα ανώτερου επιπέδου. Όπως για παράδειγμα το HyperText Transfer Protocol (HTTP), File Transfer Protocol (FTP), Telnet κοκ. 14

Περιγραφή του SSL (3/7) Το SSL λειτουργεί πριν το TCP/IP και μετά τις εφαρμογές υψηλού επιπέδου. Σχήμα 1. Το SSL λειτουργεί πριν το TCP/IP και μετά τις εφαρμογές υψηλού επιπέδου, πηγή: http://el.wikipedia.org, ανακτήθηκε 22/3/2015. 15

Περιγραφή του SSL (4/7) Το SSL λειτουργεί πριν το TCP/IP και μετά τις εφαρμογές υψηλού επιπέδου. Όπως είναι για παράδειγμα το HTTP (προβολή ιστοσελίδων), το FTP (μεταφορά αρχείων) και το IMAP (email). 16

Περιγραφή του SSL (5/7) Άρα λοιπόν αυτό που ουσιαστικά κάνει το SSL είναι να παίρνει τις πληροφορίες από τις εφαρμογές υψηλότερων επιπέδων, να τις κρυπτογραφεί και στην συνέχεια να τις μεταδίδει μέσω Διαδικτύου προς τον υπολογιστή πελάτη που τις ζήτησε. 17

Περιγραφή του SSL (6/7) Το SSL προσφέρει συνοπτικά τις ακόλουθες υπηρεσίες: Πιστοποίηση του server από τον client. Πιστοποίηση του client από τον server. Εγκαθίδρυση ασφαλούς κρυπτογραφημένου διαύλου επικοινωνίας μεταξύ των δύο μερών. 18

Περιγραφή του SSL (7/7) Οι κρυπτογραφικοί αλγόριθμοι που υποστηρίζονται από το πρωτόκολλο είναι οι εξής: DES - Data Encryption Standard, Triple-DES, AES, CBC, DHE, DSA - Digital Signature Algorithm, IDEA, RC2/RC4, RSA, MD5 - Message Digest, SHA- 1 Secure Hash Algorithm. 19

Τρόπος λειτουργίας (1/10) Το πρωτόκολλο SSL χρησιμοποιεί έναν συνδυασμό της κρυπτογράφησης δημοσίου και συμμετρικού κλειδιού. Η κρυπτογράφηση συμμετρικού κλειδιού είναι πολύ πιο γρήγορη και αποδοτική σε σχέση με την κρυπτογράφηση δημοσίου κλειδιού. Παρ' όλα αυτά όμως η δεύτερη προσφέρει καλύτερες τεχνικές πιστοποίησης. 20

Τρόπος λειτουργίας (2/10) Κάθε σύνδεση SSL ξεκινά πάντα με την ανταλλαγή μηνυμάτων από τον server και τον client έως ότου επιτευχθεί η ασφαλής σύνδεση. Ονομάζεται χειραψία (handshake). 21

Τρόπος λειτουργίας (3/10) Η χειραψία επιτρέπει στον server να αποδείξει την ταυτότητά του στον client χρησιμοποιώντας τεχνικές κρυπτογράφησης δημοσίου κλειδιού. Στη συνέχεια επιτρέπει στον client και τον server να συνεργαστούν. Για τη δημιουργία ενός συμμετρικού κλειδιού που θα χρησιμοποιηθεί στην γρήγορη κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων που ανταλλάσσονται μεταξύ τους. 22

Τρόπος λειτουργίας (4/10) Προαιρετικά η χειραψία επιτρέπει επίσης στον client να αποδείξει την ταυτότητά του στον server. Αναλυτικότερα, η διαδικασία χειραψίας έχει ως εξής: 1. Αρχικά ο client στέλνει στον server Την έκδοση του SSL που χρησιμοποιεί, τον επιθυμητό αλγόριθμο κρυπτογράφησης, μερικά δεδομένα που έχουν παραχθεί τυχαία και οποιαδήποτε πληροφορία χρειάζεται ο server για να ξεκινήσει μία σύνδεση SSL. 23

Τρόπος λειτουργίας (5/10) 2. Ο server απαντά στέλνοντας παρόμοιες πληροφορίες συμπεριλαμβανομένου όμως και του ψηφιακού πιστοποιητικού του, το οποίο τον πιστοποιεί στον client. Προαιρετικά μπορεί να ζητήσει και το ψηφιακό πιστοποιητικό του client. 24

Τρόπος λειτουργίας (6/10) 3. Ο client λαμβάνει το ψηφιακό πιστοποιητικό του server και το χρησιμοποιεί για να τον πιστοποιήσει. Εάν η πιστοποίηση αυτή δεν καταστεί δυνατή, τότε ο χρήστης ενημερώνεται με ένα μήνυμα σφάλματος και η σύνδεση SSL ακυρώνεται. Εάν η πιστοποίηση του server γίνει χωρίς προβλήματα, τότε η διαδικασία της χειραψίας συνεχίζεται στο επόμενο βήμα. 25

Τρόπος λειτουργίας (7/10) 4. Ο client συνεργάζεται με τον server και αποφασίζουν τον αλγόριθμο κρυπτογράφησης που θα χρησιμοποιηθεί στην ασφαλή σύνδεση SSL. Επίσης ο client δημιουργεί το συμμετρικό κλειδί που θα χρησιμοποιηθεί στον αλγόριθμο κρυπτογράφησης και το στέλνει στον server κρυπτογραφημένο, χρησιμοποιώντας την τεχνική κρυπτογράφησης δημοσίου κλειδιού. 26

Τρόπος λειτουργίας (8/10) 4. (Συνέχεια) Δηλαδή χρησιμοποιεί το δημόσιο κλειδί του server που αναγράφεται πάνω στο ψηφιακό του πιστοποιητικό για να κρυπτογραφήσει το συμμετρικό κλειδί και να του το στείλει. Στην συνέχεια ο server χρησιμοποιώντας το ιδιωτικό του κλειδί μπορεί να αποκρυπτογραφήσει το μήνυμα και να αποκτήσει το συμμετρικό κλειδί που θα χρησιμοποιηθεί για την σύνδεση. 27

Τρόπος λειτουργίας (9/10) 5. Ο client στέλνει ένα μήνυμα στον server ενημερώνοντάς τον ότι είναι έτοιμος να ξεκινήσει την κρυπτογραφημένη σύνδεση. 6. Ο server στέλνει ένα μήνυμα στον client ενημερώνοντάς τον ότι και αυτός είναι έτοιμος να ξεκινήσει την κρυπτογραφημένη σύνδεση. 28

Τρόπος λειτουργίας (10/10) 7. Από εδώ και πέρα η χειραψία έχει ολοκληρωθεί και τα μηνύματα που ανταλλάσσουν (client - server) είναι κρυπτογραφημένα. 29

Χειραψία μεταξύ client και server Σχήμα 2. Η διαδικασία της χειραψίας των δύο συσκευών σύμφωνα με το πρωτόκολλο SSL, πηγή: http://el.wikipedia.org. 30

Τρόπος λειτουργίας - Συνέχεια (1/4) Η χρήση του πρωτοκόλλου SSL αυξάνει τα διακινούμενα πακέτα μεταξύ των δύο μηχανών και καθυστερεί την μετάδοση των πληροφοριών επειδή χρησιμοποιεί μεθόδους κρυπτογράφησης και αποκρυπτογράφησης. 31

Τρόπος λειτουργίας - Συνέχεια (2/4) Ειδικότερα οι διάφορες καθυστερήσεις εντοπίζονται στα εξής σημεία: Στην αρχική διαδικασία χειραψίας όπου κανονίζονται οι λεπτομέρειες της σύνδεσης και ανταλλάσσονται τα κλειδιά της συνόδου. Στην διαδικασία κρυπτογράφησης και αποκρυπτογράφησης που γίνεται στους δύο υπολογιστές με αποτέλεσμα να δαπανώνται υπολογιστικοί πόροι και χρόνος. 32

Τρόπος λειτουργίας - Συνέχεια (3/4) Ειδικότερα οι διάφορες καθυστερήσεις εντοπίζονται στα εξής σημεία (Συνέχεια): Στην καθυστέρηση μετάδοσης των κρυπτογραφημένων δεδομένων αφού αυτά αποτελούνται από περισσότερα bytes. Σε σχέση με την αρχική μη κρυπτογραφημένη πληροφορία. 33

Τρόπος λειτουργίας - Συνέχεια (4/4) Λόγω αυτών των επιβαρύνσεων που εισάγει το πρωτόκολλο SSL: Χρησιμοποιείται πλέον μονάχα σε περιπτώσεις όπου πραγματικά χρειάζεται ασφαλής σύνδεση. Π.χ. μετάδοση κωδικών χρήστη ή αριθμών πιστωτικών καρτών μέσω του διαδικτύου. Και όχι σε περιπτώσεις απλής επίσκεψης σε μία ιστοσελίδα. 34

Ανιχνεύοντας το SSL με το Wireshark (1/2) Θα ερευνηθεί το πρωτόκολλο SSL (Secure Sockets Layer). Εστιάζοντας στις καταγραφές SSL πάνω σε μία σύνδεση TCP. Αυτό γίνεται πραγματοποιώντας ένα πείραμα όπου αναλύεται μία ανίχνευση καταγραφών SSL. Που στέλνεται από τον κεντρικό υπολογιστή σε έναν διακομιστή ηλεκτρονικού εμπορίου. 35

Ανιχνεύοντας το SSL με το Wireshark (2/2) Θα ερευνηθούν διάφορα είδη SSL καταγραφών καθώς και τα πεδία των μηνυμάτων SSL. Ένα παράδειγμα μίας τέτοιας ανίχνευσης φαίνεται στην παρακάτω εικόνα. 36

Παράδειγμα ανίχνευσης μηνυμάτων SSL Σχήμα 3. Παράδειγμα ανίχνευσης μηνυμάτων SSL. 37

Καταγράφοντας πακέτα σε μία συνδιάλεξη SSL (1/2) Το πρώτο βήμα είναι να καταγραφούν τα πακέτα σε μία συνδιάλεξη SSL. Για να γίνει αυτό, γίνεται μετάβαση σε μία τοποθεσία ηλεκτρονικού εμπορίου, όπου θα ξεκινήσει η διαδικασία αγοράς ενός αντικειμένου. Χωρίς όμως να ολοκληρωθεί η αγορά. 38

Καταγράφοντας πακέτα σε μία συνδιάλεξη SSL (2/2) Αφού καταγραφούν τα πακέτα με το Wireshark, εισάγεται το κατάλληλο φίλτρο ssl (χωρίς τα εισαγωγικά). Για να απεικονίζονται μόνο τα πλαίσια Ethernet που περιέχουν SSL καταγραφές που στάλθηκαν και λήφθηκαν από τον κεντρικό υπολογιστή. 39

Μία ματιά στην καταγεγραμμένη ανίχνευση (1/4) Μετά την εισαγωγή του φίλτρου θα πρέπει να απεικονίζονται μόνο τα πλαίσια Ethernet που περιέχουν SSL καταγραφές. 40

Μία ματιά στην καταγεγραμμένη ανίχνευση (2/4) Να σημειωθεί ότι ένα πλαίσιο Ethernet μπορεί να περιέχει μία ή και περισσότερες SSL καταγραφές. Καθώς επίσης και ότι μία SSL καταγραφή μπορεί να μην χωράει εξολοκλήρου σε ένα πλαίσιο Ethernet. Άρα να απαιτούνται περισσότερα από ένα πλαίσια για την μεταφορά του. 41

Μία ματιά στην καταγεγραμμένη ανίχνευση (3/4) Για τα 7 πρώτα πλαίσια Ethernet θα δημιουργηθεί ένας πίνακας όπου θα διευκρινίζεται: Η πηγή του πλαισίου (πελάτης ή διακομιστής). Ο αριθμός καταγραφών SSL που περιλαμβάνονται σε κάθε πλαίσιο. Μία λίστα με τους τύπους καταγραφών SSL που εντοπίστηκαν. 42

Μία ματιά στην καταγεγραμμένη ανίχνευση (4/4) Ακόμα θα σχεδιαστεί ένα διάγραμμα χρόνου για τον πελάτη και τον διακομιστή, με τις καταγραφές SSL να απεικονίζονται με ένα βέλος. 43

Πίνακας συγκεντρωτικών στοιχείων των καταγραφών SSL Πίνακας 1. Συγκεντρωτικά στοιχεία των καταγραφών SSL, πηγή: διδάσκων (2014). Αριθμός Πλαισίου Πηγή Αριθμός καταγραφών SSL Τύπος SSL 919 ΠΕΛΑΤΗΣ 1 Client Hello 923 ΔΙΑΚΟΜΙΣΤΗΣ 1 Server Hello 924 ΔΙΑΚΟΜΙΣΤΗΣ 2 Certificate, Server Hello Done 926 ΠΕΛΑΤΗΣ 3 928 ΔΙΑΚΟΜΙΣΤΗΣ 2 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message Change Cipher Spec, Encrypted Handshake Message 930 ΠΕΛΑΤΗΣ 1 Application Data 933 ΔΙΑΚΟΜΙΣΤΗΣ 1 Application Data 44

Καταγραφές SSL μεταξύ πελάτηδιακομιστή (1/2) Σχήμα 4. Καταγραφές SSL μεταξύ πελάτη-διακομιστή. 45

Καταγραφές SSL μεταξύ πελάτηδιακομιστή (2/2) Κάθε καταγραφή SSL ξεκινάει με τρία ίδια πεδία. Πιθανόν με διαφορετικές τιμές. Ένα από αυτά τα πεδία είναι το content type και έχει μήκος ένα byte. Τα άλλα δύο είναι το πεδίο version με μήκος 2 bytes και το πεδίο length με μήκος επίσης 2 bytes. 46

Το SSL μήνυμα Client Hello Σχήμα 5. Το SSL μήνυμα Client Hello. 47

Καταγραφή Client Hello (1/2) Στην καταγραφή Client Hello, η τιμή του πεδίου content type είναι 22, που αντιστοιχεί σε μήνυμα handshake. Το οποίο με τη σειρά του είναι τύπου 01, δηλαδή τύπου Client Hello. Το πεδίο version έχει τιμή ΤLS 1.0 και το πεδίο length την τιμή 135. 48

Καταγραφή Client Hello (2/2) Άλλο ένα αξιοσημείωτο στοιχείο της συγκεκριμένης καταγραφής είναι οι αναφορές στις τεχνικές κρυπτογράφησης που χρησιμοποιεί. Για παράδειγμα, στην πρώτη καταγεγραμμένη καταγραφή χρησιμοποιούνται οι τεχνικές κρυπτογράφησης Ron Rivest, Adi Shamir and Len Adleman (RSA), Advanced Encryption Standard (AES) 128-bit, CBC και Secure Hash Algorithm (SHA). 49

Το SSL μήνυμα Server Hello Σχήμα 6. Το SSL μήνυμα Server Hello. 50

Καταγραφή Server Hello Στη συνέχεια του πειράματος, εντοπίζεται το μήνυμα Server Hello. Σ το οποίο επίσης αναφέρονται οι τεχνικές κρυπτογράφησης που ακολουθούνται. Αυτές είναι η RSA, η RC4 128-bit, και η SHA. 51

Σημεία άξια αναφοράς (1/3) Ένα σημείο που είναι άξιο προσοχής είναι το πεδίο random bytes. Αυτό το πεδίο παρατηρείται και στο SSL μήνυμα Client Hello. Πρόκειται για ένα τυχαίο αριθμό που χρησιμοποιείται για λόγους ασφάλειας απέναντι σε διαδικτυακές επιθέσεις τύπου replay attacks. Ο όρος που χρησιμοποιείται για τον τυχαίο αυτόν αριθμό στα πρωτόκολλα είναι nonce. 52

Σημεία άξια αναφοράς (2/3) Άλλο ένα σημείο άξιο αναφοράς είναι η συνδιάλεξη Identity (ID). Ο λόγος ύπαρξης αυτής είναι η παροχή ενός μοναδικού τρόπου αναγνώρισης της συγκεκριμένης SSL συνδιάλεξης. Σε περίπτωση που ο πελάτης θελήσει να την ανακαλέσει αργότερα στην σύνδεση, το μόνο που χρειάζεται να κάνει είναι να ανακαλέσει τον αριθμό ID της συνδιάλεξης. Όταν θα στείλει το μήνυμα Client Hello. 53

Σημεία άξια αναφοράς (3/3) Ένα τελευταίο σημείο αυτής της καταγραφής που αξίζει να σημειωθεί είναι ότι δεν περιέχεται κάποιο πιστοποιητικό. Αντιθέτως το πιστοποιητικό στέλνεται μέσα από ένα άλλο, ξεχωριστό πλαίσιο Ethernet. 54

Ανάλυση καταγραφών (1/7) Το επόμενο βήμα στο συγκεκριμένο πείραμα είναι η ανάλυση των καταγραφών: Client Key Exchange. Change Cipher Spec. Encrypted Handshake Message. 55

Ανάλυση καταγραφών (2/7) Σχήμα 7. Οι καταγραφές Client Key Exchange, Change Cipher Spec και Encrypted Handshake Message.. 56

Ανάλυση καταγραφών (3/7) Η καταγραφή Client Key Exchange περιέχει ένα pre-master secret. Το οποίο χρησιμοποιείται τόσο από τον πελάτη όσο και από τον διακομιστή. Για να δημιουργήσουν ένα master secret. Χρησιμοποιείται για τη δημιουργία ενός σετ κλειδιών για το MAC και την κρυπτογράφηση. 57

Ανάλυση καταγραφών (4/7) Είναι κρυπτογραφημένο, με το δημόσιο κλειδί του διακομιστή. Το οποίο ο πελάτης απέσπασε από τον διακομιστή μέσα από την καταγραφή certificate. Έχει μήκος 130 bytes. 58

Ανάλυση καταγραφών (5/7) Η καταγραφή Change Cipher Spec έχει ως σκοπό να υποδείξει ότι τα δεδομένα που θα σταλούν μέσα από το πρωτόκολλο SSL είναι κρυπτογραφημένα. Έχει μήκος συνολικά 6 bytes, από τα οποία τα 5 bytes είναι το μέγεθος της επικεφαλίδας. 59

Ανάλυση καταγραφών (6/7) Στην καταγραφή Encrypted Handshake από την άλλη: Έχουν συνενωθεί όλα τα μηνύματα χειρονομίας που στάλθηκαν από τον πελάτη στον διακομιστή. Έχουν κρυπτογραφηθεί σε ένα κώδικα γνησιότητας μηνύματος (MAC) και στέλνονται στον διακομιστή. 60

Ανάλυση καταγραφών (7/7) Τις δύο τελευταίες καταγραφές, την Change Cipher Spec και την Encrypted Handshake: Τις στέλνει και ο διακομιστής προς τον πελάτη. Έίναι ακριβώς οι ίδιες με μία μόνο διαφορά. Στην καταγραφή Encrypted Handshake η συνένωση των μηνυμάτων χειρονομίας αφορά τα μηνύματα χειρονομίας που έστειλε ο διακομιστής στον πελάτη. 61

Δεδομένα εφαρμογής Το πείραμα κλείνει με μία ακόμα αναφορά σχετική με τα δεδομένα εφαρμογής. Στέλνονται κρυπτογραφημένα, με βάση την τεχνική κρυπτογράφησης που έχει επιλεγεί στην χειραψία μεταξύ πελάτη και διακομιστή. 62

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (1/8) Σκοπός του επόμενου πειράματος είναι η πλήρης αποσαφήνιση του τρόπου λειτουργίας του πρωτόκολλου SSL. Καταγράφοντας τα πακέτα που ανταλλάσσονται κατά τη μετάβαση σε μία τοποθεσία που είναι προστατευμένη με κωδικό εισόδου και χρησιμοποιεί ένα δίκτυο διανομής περιεχομένου ή αλλιώς Content Distribution Network. 63

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (2/8) Στο πείραμα που πραγματοποιείται επιλέγεται η ιστοσελίδα κοινωνικής δικτύωσης www.facebook.com. Η οποία χρησιμοποιεί τόσο κωδικό εισόδου, όσο και το CDN της εταιρείας Akamai. http://www.akamai.com/index.html 64

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (3/8) Οι σκοποί της χρήσης αυτού του δικτύου είναι: Η ταχύτητα. Η ασφάλεια. Η αποφυγή της συμφόρησης δικτύου κατά την χρήση των εφαρμογών της παραπάνω ιστοσελίδας. 65

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (4/8) Αυτό επιτυγχάνεται μέσα από την λειτουργία χιλιάδων διακομιστών από την Akamai σε παγκόσμια κλίμακα. Με αποτέλεσμα όταν ένας πελάτης θελήσει να συνδεθεί σε μία από τις συνεργαζόμενες ιστοσελίδες, όπως είναι το Facebook. Λαμβάνει το περιεχόμενο αυτής της ιστοσελίδας από τον πλησιέστερο διακομιστή της Akamai. Ο οποίος διαθέτει ακριβές αντίγραφο του περιεχομένου και όχι και από τον κεντρικό διακομιστή που φιλοξενεί στην ιστοσελίδα. 66

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (5/8) Το πείραμα που πραγματοποιείται για να καταγραφεί η συμπεριφορά του πρωτοκόλλου SSL είναι το εξής: Ξεκινάει το Wireshark. Γίνεται μετάβαση στην ιστοσελίδα www.facebook.com. Εισάγονται στα αντίστοιχα πεδία το όνομα χρήστη και ο κωδικός. Γίνεται σύνδεση στο λογαριασμό του χρήστη και τότε σταματάει την καταγραφή το Wireshark. 67

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (6/8) Το πρωτόκολλο SSL πραγματοποιεί μία χειραψία αρχικά με τον κεντρικό διακομιστή του Facebook. Από την στιγμή που ολοκληρωθεί η διαδικασία της χειραψίας. Πραγματοποιεί και δεύτερη χειραψία, αυτή τη φορά με το διακομιστή της Akamai. 68

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (7/8) Από τον συγκεκριμένο διακομιστή θα τρέξουν οι Java εφαρμογές, τα streaming media και όποιο άλλο περιεχόμενο υπάρχει ως αντίγραφο στον συγκεκριμένο διακομιστή. 69

Μετάβαση σε ιστότοπο προστατευμένο με κωδικό εισόδου και CDN (8/8) Από την στιγμή που ολοκληρώνεται και η δεύτερη χειραψία ξεκινάει η μεταφορά, μέσω TCP, των κρυπτογραφημένων δεδομένων με βάση το συμμετρικό κλειδί της συνόδου. 70

Το παράθυρο του Wireshark μετά την εφαρμογή του φίλτρου ssl Σχήμα 8. Το παράθυρο του Wireshark μετά την εφαρμογή του φίλτρου ssl. 71

Βιβλιογραφία 1. Δικτύωση Υπολογιστών», James Kurose_Keth W. Ross, Εκδόσεις Γκιούρδας Μ.. 2. Andrew Tanenbaum, «Δίκτυα Υπολογιστών», 5η Έκδοση. 3. http://el.wikipedia.org, προσπελάστηκε 22/3/2015. 72

Τέλος Ενότητας

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια