Xayrullayev Shaxboz Hasanov Baxrom Sharifjon Sobirov Umid Shomurodov Umrzoqov Ahror Hasanov Sherzodjon Hatamov Ravshan
Tarmoq xavfsizligi protokollari
Tarmoq qatlamlari - Ilova
- Transport
- Tarmoq
- Kanal
- Fizik
Xavfsizlik protokollari namunalari - Ilova sathi: PGP, SSH
- Transport sathi: SSL/TLS
- Tarmoq sathi: IPsec
- Kanal sathi: IEEE 802.11 (WEP, WPA)
Xavfsizlik pastroq darajalarda o'rnatilganda, u avtomatik, “Blanket" qamrovini ta'minlashi mumkin ... - Xavfsizlik pastroq darajalarda o'rnatilganda, u avtomatik, “Blanket" qamrovini ta'minlashi mumkin ...
- …lekin keng ko‘lamda qo‘llanilishiga ko‘p vaqt ketishi mumkin
- Hamma narsani shifrlash samarasiz bo'lishi mumkin
- Xavfsizlik yuqori darajaga o'rnatilganda, individual foydalanuvchilar undan qachon foydalanishni tanlashlari mumkin ...
- …lekin xavfsizlikni bilmaydigan foydalanuvchilar undan foydalana olmasligi mumkin
- Faqat kerakli narsani shifrlashi mumkin
Misol: PGP va SSL va IPsec - PGP - bu “xavfsiz elektron pochta” uchun dastur darajasidagi protokol.
- Xavfsiz tarmoqlar orqali xavfsizlikni ta'minlay oladi
- Foydalanuvchilar PGP dan qachon foydalanishni tanlashadi; foydalanuvchi ishtirok etishi kerak
- Elisning elektron pochtadagi imzosi, Elis haqiqatda xabarni yaratganligini va u o'zgarmagan holda qabul qilinganligini tasdiqlaydi; ham rad etmaslik
- Bundan farqli o'laroq, SSL Elisning kompyuteridan "ulanish" ni ta'minlaydi; foydalanuvchini autentifikatsiya qilish uchun qo'shimcha mexanizmlar kerak bo'ladi
- Oflayn partiya bilan aloqa (masalan, elektron pochta)
Misol: PGP va SSL va IPsec - SSL TCP "yuqorida" transport qatlamida joylashgan
- Paket oqimi autentifikatsiya qilingan/shifrlangan
- Ulanishga yo'naltirilgan seanslar uchun eng yaxshi xavfsizlik (masalan, http trafik)
- Foydalanuvchi ishtirok etishi shart emas
- OT o'zgarishi shart emas, lekin ilovalar xavfsiz muloqot qilishni xohlasa, o'zgartiradi
Misol: PGP va SSL va IPsec - IPsec tarmoq sathida joylashgan
- Shaxsiy paketlar autentifikatsiyalangan/shifrlangan
- End-to-end yoki hop-by-hop xavfsizlik
- OSni o'zgartirish kerak
- Barcha ilovalar sukut bo'yicha "himoyalangan" va foydalanuvchilar nomidan ilovalar yoki harakatlarni o'zgartirishni talab qilmasdan.
- Foydalanuvchilarni emas, faqat xostlarni autentifikatsiya qiladi
- Foydalanuvchi IPsec ishlayotganidan butunlay bexabar bo'lishi mumkin
SSL/TLS
Qisqacha tarix… - SSLv2 Netscape 1.1 da joylashtirilgan (1995)
- TLS sifatida standartlashtirilgan SSLv3 ning o'zgartirilgan versiyasi
- Ushbu umumiy ko'rinish farqlarga e'tibor qaratmaydi; Men shunchaki qulaylik uchun "SSL" deyman
- SSL - bu katta muvaffaqiyat tarixi!
Keng ko'rinish - SSL TCP tepasida ishlaydi
- Afzallik: TCP ni o'zgartirishni talab qilmaydi
- Dasturchi nuqtai nazaridan, u transport qatlamida o'tiradi
- TCP bilan bir xil API
- UDP bilan emas, faqat TCP bilan ishlaydi
- Asosan HTTP trafigi uchun ishlatiladi
SSL umumiy ko'rinishi - Uch bosqich
- Qo'l siqish //Handshake
- Kalit hosilasi //Key derivation
- Ma'lumotlarni uzatish //Data transfer
Qo'l siqish + kalitni olish - Mijoz qo'llab-quvvatlanadigan kripto algoritmlari ro'yxatini yuboradi va bir marta R C
- Server sertifikat yuboradi, kripto algoritmini tanlaydi va R S ni bir marta yuboradi
- Mijoz tasodifiy K ni serverning ochiq kaliti bilan shifrlaydi
- Mijoz/server seans kalitlarini R C , R S , K dan oladi
- Takroriy hujumlarning oldini oladi
- Mijoz qo'l siqishning MAC-ni yuboradi; server xuddi shunday javob beradi
- Bir seansda bir vaqtning o'zida bir nechta ulanishlar bo'lishi mumkin
- C , R S ni almashish va sessiya (master) K tugmasidan foydalanish orqali har bir ulanish kalitlarini olishi mumkin
Ma'lumotlarni uzatish - Mijoz va server to'rtta kalitni o'rnatish uchun K dan foydalanadi: shifrlash va autentifikatsiya, har bir yo'nalish uchun
- SSL ma'lumotlar oqimini yozuvlarga ajratadi ; har bir yozuvga MAC qo'shadi; va keyin natijani shifrlaydi
- Mac-keyin-shifrlash…
- Qaysi tanlov yaxshiroq bo'lar edi?
- MAC rekord va ketma-ketlik raqami orqali hisoblanadi
- Paketlarni takrorlash, qayta tartiblash yoki tushirishni oldini oladi
SSL xavfsizligi - Maxfiylik, yaxlitlik va bir tomonlama autentifikatsiyani ta'minlaydi
- Mijoz to'g'ri savdogar bilan gaplashayotganiga ishonch hosil qilishni xohlaydi; savdogar mijozning kimligi bilan qiziqmaydi
- O'zaro autentifikatsiya qo'llab-quvvatlanadi
- Agar server talab qilsa va mijoz sertifikatga ega bo'lsa
- E'tibor bering, o'zaro autentifikatsiya ilova darajasida amalga oshirilishi mumkin (masalan, parolga asoslangan login)
Do'stlaringiz bilan baham: |