بخشی از پاورپوینت
اسلاید 1 :
امنیت وب
مبتنی بر فصل 14 از کتاب
Network Security, Principles and Practice,2nd Ed.
اسلاید 2 :
فهرست مطالب
خطرات تهدیدكننده وب
روشهای مختلف تامین امنیت وب
SSL
TLS
SET
اسلاید 3 :
خطرات تهدیدكننده وب
با توجه به سادگی و گستردگی استفاده از مرورگرها و خدمات وب و راه اندازی سرورها، امنیت وب از پیچیدگی بالایی برخوردار است.
نمونه ای از خطرات متداول:
حمله به وب سرورها
تهدید اعتبار برنامه های تجاری مهم
وجود كاربران عام و ناآشنا به خطرات امنیتی
دسترسی به حریم خصوصی افراد و آزار و اذیت آنها
اسلاید 4 :
Sharif Network Security Center
Threats on the Web
اسلاید 5 :
روشهای مختلف تامین امنیت وب
استفاده از IPSec . مزایا :
همه منظوره
شفاف از دید كاربران لایه بالاتر
سربار اضافی استفاده از IPSec با استفاده از فیلترینگ قابل حل است
استفاده از SSL/TLS
شفاف از دید Applicationها
پشتیبانی مرورگرهایی مانند Netscape و IE و نیز بسیاری از وب سرورها
سرویسهای امنیتی وابسته به كاربرد خاص
SET
اسلاید 6 :
Sharif Network Security Center
Web Security Approaches
اسلاید 7 :
Sharif Network Security Center
Netscape Support for SSL
اسلاید 8 :
SSL - تاریخچه
July, 1994
شرکت Netscape طراحی SSL 1.0 را انجام داد.
این نسخه هیچگاه منتشر نشد!
Dec, 1994
مرورگر Netscape همراه با SSL 2.0 به بازار عرضه شد.
آسیب پذیر بود. کمتر از 1 ساعت می شد به آن نفوذ کرد.
محدودیت استفاده از کلیدهای 40 بیتی در خارج آمریکا
اسلاید 9 :
SSL – تاریخچه(.ادامه)
July, 1995
مایکروسافت نسخه جدیدی از IE را به بازار عرضه کرد که از SSL پشتیبانی می کرد.
پشتیبانی از مدهای کاری جدید و افزایش طول کلیدهای قابل استفاده
Nov, 1995
شرکت Netscape توصیف SSL 3.0 را منتشر کرد
با تغییرات و جهش عمده نسبت به نسخه های قبلی همراه بود
ضمن اینکه نسبت به نسخه SSL v2.0، Backward Compatible بود
اسلاید 10 :
SSL – تاریخچه(.ادامه)
May, 1996
IETF گروه کاری TLS را تشکیل داد و مسئولیت پاسخگویی به مشکلات قرارداد SSL را برعهده گرفت.
Jan, 1999
TLS 1.0 بطور رسمی همراه با RFC 2246 به بازار عرضه شد.
در واقع همان SSL v3.1 بود که به دلایل تجاری تغییر نام داده بود.
اسلاید 11 :
SSL
لایه امنیتی در بالای لایه انتقال
ارائه شده توسط شرکت Netscape و نسخه 3 آن نسخه استاندارد اینترنت می باشد
سرویس قابل اطمینان انتها به انتها(end to end) و مبتنی بر TCP
پروتكل آن در دو لایه پیاده سازی می شود
اسلاید 12 :
SSL - معماری
لایه اول بالای لایه انتقال و لایه دوم در لایه کاربرد
لایه اول شامل پروتکل Record و لایه دوم مربوط به سرویسهای مدیریتی بوده و شامل پروتکلهای زیر می شود
اسلاید 13 :
SSL – پروتكلها
SSL Record Protocol : دو سرویس برای SSL فراهم می كند:
محرمانگی :
با استفاده از یك كلید متقارن مخفی كه در پروتكل Handshake به اشتراك گذاشته شده است.
استفاده از یكی از الگوریتمهای IDEA، RC2-40، DES-40، DES، 3DES، Fortezza، RC4-40، RC4-128
تمامیت پیغام
تولید MAC با استفاده از کلید متقارن مخفی
استفاده از SHA-1 یا MD5
وظیفه تولید و توزیع کلیدهای متقارن برای انجام رمزگذاری مرسوم و نیز محاسبه MAC برعهده پروتکل handshake است
اسلاید 14 :
Sharif Network Security Center
Netscape’s Ciphersuites
اسلاید 15 :
Sharif Network Security Center
Record Protocol Operation
اسلاید 16 :
SSL – پروتكلها
اعمال انجام شده در پروتكل Record
قطعه بندی: تولید بلاكهای به طول 214 یا كمتر .
فشرده سازی : اختیاری و بدون از دست رفتن داده.
تولید MAC : مشابه HMAC و روی ورودی زیر انجام می گیرد:
(محتوای بلاك، طول بلاك، نوع فشرده سازی، شماره سریال)
الگوریتم تولید کد احراز هویت MD5 یا SHA-1 می باشد.
رمزنگاری : استفاده از رمز بلاكی یا نهری.
اضافه كردن سرآیند : به ابتدای بلاك رمزشده می چسبد و شامل موارد زیر است:
(نوع محتوا، نسخه اصلی SSL، نسخه فرعی SSL، طول داده فشرده شده)
نوع محتوا(Content Type) بیان كننده پروتكل استفاده كننده از این سرویس در لایه بالاتر می باشد
اسلاید 17 :
Sharif Network Security Center
SSL Record Format
اسلاید 18 :
SSL – پروتكلها
پروتكل Change Cipher Spec:
یكی از 3 پروتكل لایه دوم SSL كه از پروتكل Record استفاده می كنند.
شامل 1 بایت می باشد
منجر به نوشته شدن مشخصات رمزنگاری معلق(pending) بجای مشخصات فعلی می شود تا در اتصال جاری مورد استفاده قرار گيرد.
اسلاید 19 :
SSL – پروتكلها
پروتكل SSL Alert:
هشدارها و خطاهای مربوط به SSL را به طرف مقابل منتقل می كند
شدت خطای پیش آمده : Warning or Fatal
مانند بقیه داده های SSL فشرده سازی و رمزنگاری می شود.
نمونه خطاها :
unexpected message, bad record mac, decompression failure, handshake failure
اسلاید 20 :
SSL – پروتكلها
پروتكل SSL Handshake
پیش از انتقال هر نوع داده ای تحت SSL انجام می شود.
با استفاده از آن کارفرما و کارگزار می توانند :
همدیگر را شناسایی كنند
الگوریتم های رمزنگاری، توابع درهم ساز مورد استفاده و کلیدهای رمزنگاری متقارن و نامتقارن را رد و بدل كنند.
