Cmsc 414 Computer (and Network) Security


Download 106.07 Kb.
Sana19.02.2023
Hajmi106.07 Kb.
#1213937

Kompyuter va tarmoq xavfsizligi

Xayrullayev Shaxboz

Hasanov Baxrom

Sharifjon Sobirov

Umid Shomurodov

Umrzoqov Ahror

Hasanov Sherzodjon

Hatamov Ravshan


Tarmoq xavfsizligi protokollari

Tarmoq qatlamlari

  • Ilova
  • Transport
  • Tarmoq
  • Kanal
  • Fizik

Xavfsizlik protokollari namunalari

  • Ilova sathi: PGP, SSH
  • Transport sathi: SSL/TLS
  • Tarmoq sathi: IPsec
  • Kanal sathi: IEEE 802.11 (WEP, WPA)

Xavfsizlik pastroq darajalarda o'rnatilganda, u avtomatik, “Blanket" qamrovini ta'minlashi mumkin ...

  • Xavfsizlik pastroq darajalarda o'rnatilganda, u avtomatik, “Blanket" qamrovini ta'minlashi mumkin ...
    • …lekin keng ko‘lamda qo‘llanilishiga ko‘p vaqt ketishi mumkin
    • Hamma narsani shifrlash samarasiz bo'lishi mumkin
  • Xavfsizlik yuqori darajaga o'rnatilganda, individual foydalanuvchilar undan qachon foydalanishni tanlashlari mumkin ...
    • …lekin xavfsizlikni bilmaydigan foydalanuvchilar undan foydalana olmasligi mumkin
    • Faqat kerakli narsani shifrlashi mumkin

Misol: PGP va SSL va IPsec

  • PGP - bu “xavfsiz elektron pochta” uchun dastur darajasidagi protokol.
    • Xavfsiz tarmoqlar orqali xavfsizlikni ta'minlay oladi
    • Foydalanuvchilar PGP dan qachon foydalanishni tanlashadi; foydalanuvchi ishtirok etishi kerak
    • Elisning elektron pochtadagi imzosi, Elis haqiqatda xabarni yaratganligini va u o'zgarmagan holda qabul qilinganligini tasdiqlaydi; ham rad etmaslik
      • Bundan farqli o'laroq, SSL Elisning kompyuteridan "ulanish" ni ta'minlaydi; foydalanuvchini autentifikatsiya qilish uchun qo'shimcha mexanizmlar kerak bo'ladi
    • Oflayn partiya bilan aloqa (masalan, elektron pochta)

Misol: PGP va SSL va IPsec

  • SSL TCP "yuqorida" transport qatlamida joylashgan
    • Paket oqimi autentifikatsiya qilingan/shifrlangan
    • Ulanishga yo'naltirilgan seanslar uchun eng yaxshi xavfsizlik (masalan, http trafik)
    • Foydalanuvchi ishtirok etishi shart emas
    • OT o'zgarishi shart emas, lekin ilovalar xavfsiz muloqot qilishni xohlasa, o'zgartiradi

Misol: PGP va SSL va IPsec

  • IPsec tarmoq sathida joylashgan
    • Shaxsiy paketlar autentifikatsiyalangan/shifrlangan
    • End-to-end yoki hop-by-hop xavfsizlik
    • OSni o'zgartirish kerak
    • Barcha ilovalar sukut bo'yicha "himoyalangan" va foydalanuvchilar nomidan ilovalar yoki harakatlarni o'zgartirishni talab qilmasdan.
    • Foydalanuvchilarni emas, faqat xostlarni autentifikatsiya qiladi
    • Foydalanuvchi IPsec ishlayotganidan butunlay bexabar bo'lishi mumkin

SSL/TLS

Qisqacha tarix…

  • SSLv2 Netscape 1.1 da joylashtirilgan (1995)
  • TLS sifatida standartlashtirilgan SSLv3 ning o'zgartirilgan versiyasi
  • Ushbu umumiy ko'rinish farqlarga e'tibor qaratmaydi; Men shunchaki qulaylik uchun "SSL" deyman
  • SSL - bu katta muvaffaqiyat tarixi!

Keng ko'rinish

  • SSL TCP tepasida ishlaydi
    • Afzallik: TCP ni o'zgartirishni talab qilmaydi
  • Dasturchi nuqtai nazaridan, u transport qatlamida o'tiradi
    • TCP bilan bir xil API
    • UDP bilan emas, faqat TCP bilan ishlaydi
  • Asosan HTTP trafigi uchun ishlatiladi

SSL umumiy ko'rinishi

  • Uch bosqich
    • Qo'l siqish //Handshake
    • Kalit hosilasi //Key derivation
    • Ma'lumotlarni uzatish //Data transfer

Qo'l siqish + kalitni olish

  • Mijoz qo'llab-quvvatlanadigan kripto algoritmlari ro'yxatini yuboradi va bir marta R C
  • Server sertifikat yuboradi, kripto algoritmini tanlaydi va R S ni bir marta yuboradi
  • Mijoz tasodifiy K ni serverning ochiq kaliti bilan shifrlaydi
  • Mijoz/server seans kalitlarini R C , R S , K dan oladi
    • Takroriy hujumlarning oldini oladi
  • Mijoz qo'l siqishning MAC-ni yuboradi; server xuddi shunday javob beradi

Seanslar va ulanishlar

  • Bir seansda bir vaqtning o'zida bir nechta ulanishlar bo'lishi mumkin
  • C , R S ni almashish va sessiya (master) K tugmasidan foydalanish orqali har bir ulanish kalitlarini olishi mumkin

Ma'lumotlarni uzatish

  • Mijoz va server to'rtta kalitni o'rnatish uchun K dan foydalanadi: shifrlash va autentifikatsiya, har bir yo'nalish uchun
  • SSL ma'lumotlar oqimini yozuvlarga ajratadi ; har bir yozuvga MAC qo'shadi; va keyin natijani shifrlaydi
    • Mac-keyin-shifrlash…
    • Qaysi tanlov yaxshiroq bo'lar edi?
  • MAC rekord va ketma-ketlik raqami orqali hisoblanadi
    • Paketlarni takrorlash, qayta tartiblash yoki tushirishni oldini oladi

SSL xavfsizligi

  • Maxfiylik, yaxlitlik va bir tomonlama autentifikatsiyani ta'minlaydi
    • Mijoz to'g'ri savdogar bilan gaplashayotganiga ishonch hosil qilishni xohlaydi; savdogar mijozning kimligi bilan qiziqmaydi
  • O'zaro autentifikatsiya qo'llab-quvvatlanadi
    • Agar server talab qilsa va mijoz sertifikatga ega bo'lsa
    • E'tibor bering, o'zaro autentifikatsiya ilova darajasida amalga oshirilishi mumkin (masalan, parolga asoslangan login)

Download 106.07 Kb.

Do'stlaringiz bilan baham:




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling