ssh protokols
DESCRIPTION
Strauji augoša un plaši izplatīta elektroniska datu apstrāde un e-Bizness izmantojot internetu, kā arī starptautiskā terorisma draudi motivē pēc labākas datoru, to glabātās informācijas, veikto procesu un sūtītās informācijas aizsardzības.TRANSCRIPT
DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
Rihards Kubilis 2. kurss 5. grupa
Datu DrošībaStrauji augoša un plaši izplatīta elektroniska datu apstrāde
un e-Bizness izmantojot internetu, kā arī starptautiskā terorisma draudi motivē pēc labākas datoru, to glabātās informācijas, veikto procesu un sūtītās informācijas aizsardzības
Informācijas drošības pamatprincipi:konfidencialitāteintegritātepieejamībaautentitātebezatteiksme (non-repudiation)
5/17/2011 DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE 2
Datu DrošībaLai samazinātu risku, tiek īstenots vismaz viens no trim kontroles
tipiemadministratīvā loģiskā jeb tehniskā kontrolefiziskā kontrolePie informācijas drošības pieder arī piekļuves kontrole un
kriptogrāfija. Piekļuves kontrole ietver :identifikāciju – kādas personas vai ierīces identitātes noteikšanaautentifikāciju – pārbauda identitātes patiesumuautorizāciju – process, kurā nosaka, kādiem datiem drīkst piekļūt
un kādas darbības drīkst veikt autentificētais subjekts. Ar kriptogrāfijas izmantošanu panāk derīgo datu pārveidošanu
tādā formā, ka tos nevar izmantot neautorizēta persona – tā ir datu šifrēšana. Šifrēto informāciju var pārveidot lietojamā formā persona, kurai ir kriptogrāfiskā atslēga – šo procesu sauc par atšifrēšanu.
5/17/2011 DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE 3
SSH ProtokolsSSH ir OSI modeļa 7. līmeņa protokolsdrošs kanālsautentifikācija, autorizācija, šifrēšana un datu
integritātes pārbaude, datu saspiešanaKlienta / servera arhitektūra
5/17/2011 4DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
SSH PielietojumsAizvieto Telnet BSD r-commands kā rlogin, rsh, rexec,rcp Viss augstāk minētais datus un paroles sūta atvērtā veidā
Galvenās SSH piedāvātās iespējas Drošu komandu čaulu - ssh Drošu failu pārsūtīšanu – sftp,scp Portu pāradresēšanu jeb tunelēšanu
5/17/2011 5DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
SSH Datu ApmaiņaDivas SSH protokola versijas SSH 1.x a.k.a SSH-1 un SSH 2.x -
SSH-2Atšķirīgas Realizācijas izmantotie atslēgu apmaiņasdatu šifrēšanas algoritmiSSH-1 monolīts protokolsSSH-2 sadalīts 3 protokolos
SSH Transporta slāņa protokola SSH Lietotāju autentifikācijas protola SSH Savienojuma protokola
Tomēr ir iespējama atpakaļ savienojamība5/17/2011 6DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
SSH Datu Apmaiņa1. Savienojuma sesijas uzsākšana
1. klients nosūta pieprasījumu serverim pieslēgties 2. Serveris un klients atklāj kādu SSH protokola versiju tie
atbalsta. 1. Vai ir iespējama savienojamība?
2. SSH klients un serveris pārslēdzas uz pakešu bāzētu protokolu3. Serveris identificē sevi un piedāvā sesijas parametrus
1. public host key, public server key, gadījuma simbolu virkni 2. sarakstu ar šifrēšanas, kompresijas un autentifikācijas
metodēmSSH-2 protokols dod iespēju izvēlēties algoritmus, kas tiks
izmantoti sesijas datu šifrēšanā un autentifikācijā, publisko atslēgu šifrēšanā. SSH-1 protokols dod iespēju izvēlēties tikai datu šifrēšanas algoritmu
5/17/2011 7DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
SSH Datu Apmaiņa1. Klients un serveris ģenerē 128 bitu sesijas identifikātoru
1. md5 hash no public host key, public server key un pārbaudes baitiem
2. Kad klients saņem public host key1. Zināmo saimnieku datubāzes pārbaude
3. Klients ģenerē nejaušu sesijas atslēgu, kas tiek šifrēta divreiz
1. nosūtīta kopā ar pārbaudes kodu un informāciju par izvēlēto šifrēšanas algoritmu serverim
4. SSH-2 protokolā1. ģenerēta simbolu virkne, kas kalpo kā ievads sesijas atslēgas
izveidei
5. Tiek ieslēgta sesijas datu šifrēšanu ar sesijas atslēgas un šifrēšanas algoritma palīdzību
5/17/2011 8DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
SSH Datu ApmaiņaProtokolos realizētā lietotāja autentifikācijaSSH-1
Kerberos ; Rhosts; RhostsRSA; Public-key; TIS Parole
Saimnieka ielogošanās parole; Kerberos; SecurID; S/Key
SSH-2 Public-keyhostbasedparoles.
5/17/2011 9DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
SSH Drošības problēmasTCPMITMDoSParoleCovert ChannelTrafika analīze
5/17/2011 10DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
Binārais pakešu protokolssesijas datu šifrēšana un autentifikācija, integritātes
pārbaude1. Derīgie paketes dati tiek iekodēti
1. tiek ģenerēts MAC kods2. pievieno 32 bitu skaitītāja vērtību
2. SSH-1 un SSH-2 atšķirās1. paketes lauki un izmēri2. šifrētais datu apjoms 3. SSH-2 tiek šifrēts arī paketes garums
3. Saņemot datus tiek atšifrēti derīgie dati1. tiek pievienoti skaitītāja dati2. izskaitļots MAC kods
5/17/2011 11DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
Alternatīvas Pretty Good Privacy (PGP) –
1. šifrēšanas programma2. autentificēt lietotājus3. var izmantot SSH atslēgu autentifikācijā
Kerberos – autentifikācijass sistēma1. nepieciešama infrastruktūru 2. parole tīklā pavadīs pēc iespējas mazāku laiku un tiks glabāta tikai
uz centrālā hosta IPSEC - realizē autentifikāciju un šifrēšanu IP protokola līmenī 1. Izslēdz jebkādas programmas izmantošanu lietotāja līmenī2. iespējams droši savienot datoru ar tīklu ; veselus tīklus savā
starpā3. nepieciešams papildināt savienoto datoru OS un arī tīkla perifēriju4. realizācija aizņem vairāk laika5. autentificē tik izmantotos datorus
5/17/2011 12DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
Alternatīvas Secure Remote Password (SRP)1. domāts uzlabot paroles autentifikācijas metodi2. iesaistītas divas puses 3. ir nepieciešams atcerēties īsu paroli Stunnel 1. SSL rīks2. piešķir SSL aizsardzību eksistējošam TCP servisam unix vidē3. veic ienākošo savienojumu autentifikāciju un autorizāciju caur 4. Tas ir izdevīgi, jo dažas programmas ir iespējams darbināt ar SSL
atbalstu
5/17/2011 13DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
Secinājumi SSH ir diezgan labs drošības risinājums, kad ir nepieciešams
pieslēgties pie attālinātas komandu čaulas, nosūtīt failus vai izpildīt komandas attālināti. Risinājums gadījumos, kad ir nepieciešams realizēt drošību, jau esošā tīkla vidē, bez lieliem papildus ieguldījumiem programnodrošinājuma vai tehniskā nodrošinājuma ziņā. Tomēr ne vienmēr SSH pilnībā spēs nodrošināt drošību tīkla trafikā, atsevišķos gadījumos tas nav iespējams vispār
Izmantojot SSH ir jāpievērš uzmanība tam, kādas autentifikācijas metodes tiek izmantotas SSH drošības shēmā, galvenokārt, kāda SSH protokola versija. Dažos gadījumos SSH izmantošana var neieviest tik ļoti gaidītos uzlabojumus drošībā. Galvenā SSH problēma ir mērogojamība, tās realizēšanai ir jāiesaista papildus puses, piemēram, lai noteiktu atslēgu īpašnieku patiesību ir iespējams izmantot sertifikātus, bez tiem ir samērā komplicēti pārvaldīt SSH serverī esošās datubāzes.
SSH pats par sevi ne vienmēr ir ērts izmantošanai, ja ir nepieciešams ielogoties attālināti ceļojuma laikā. Kas prasa iesaisīt papildus ieguldījumus autentifikācijas un autorizācijas shēmā.
5/17/2011 14DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
Piemērs
5/17/2011 15DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE
Piemērs
5/17/2011 16DATORZINĀTNES UN INFORMĀCIJAS TEHNOLOĢIJAS FAKULTĀTE