1 / 31

SSL, HTTPS en SSH

SSL, HTTPS en SSH. Johnny Schaap. Inhoud. TCP en UDP Het OSI model Secure Socket Layer(SSL) Massage Authentication Code(MAC) Certificates Hyper Text Transfer Protocol Secure(HTTPS) Secure Shell (SSH). TCP/IP model en OSI model. http://www.netwerkinstellen.nl/het-osi-model/.

elijah
Download Presentation

SSL, HTTPS en SSH

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SSL, HTTPS en SSH Johnny Schaap

  2. Inhoud • TCP en UDP • Het OSI model • Secure Socket Layer(SSL) • Massage Authentication Code(MAC) • Certificates • Hyper Text Transfer Protocol Secure(HTTPS) • Secure Shell (SSH)

  3. TCP/IP model en OSI model http://www.netwerkinstellen.nl/het-osi-model/

  4. UDP en TCP • UDP is niet connectie georiënteerd. • Is sneller dan TCP • TCP is wel connectie georiënteerd. • Heeft veel minder packetloss dan UDP • Moet eerst opgezet worden. TCP-verbinding opzettenhttp://nl.wikipedia.org/wiki/Transmission_Control_Protocol

  5. SSL/TLS • Geschiedenis • 1993: Netscape ontwikkeld SSL 1.0 • 1995: Netscape publiceert SSL 2.0 • 1996: Netscape publiceert SSL 3.0 • 1999: IETF doopte SSL om tot TLS 1.0 • 2006: TLS 1.1 met protectie tegen CBC attacks (d.m.v. padding en initialisatie vectoren) • 2008: TLS 1.2 tegen andere aanvallen. • Transport Layer Security(TLS)

  6. SSL API en Sockets • SSL zit tussen de Applicatie en Transport laag • Kurose J.F. & Ross K.W. (2009) “Computer Networking: A top down approach”, Addison-Wesley.

  7. SSL verbinding • 3 Fases • Hand-shake fase • Keyderivation fase • Data transfer fase

  8. SSL Hand shake • Hand-shake fase bestaat uit 3 fases • Hand-shake • Authenticatie • Sleuteluitwisseling

  9. SSL KeyDerivation • Alice(cliënt) en Bob(server) genereren beide: • EA = Encryptie/Decryptie van het bericht naar Alice • EB = Encryptie/Decryptie van het bericht naar Bob • MA= Integriteit check op Alice’s berichten. • MB = Integriteit check op Bob’s berichten. • Indien Cipher Block Chaining wordt gebruikt, genereren beiden 2 initialisatie vectoren.

  10. SSL Data Transfer • Data wordt in stukjes geknipt. • Data, MAC(+Nonce) worden versleuteld. • Header bevat type, versie en lengte.

  11. SSL verbinding verbreken • TCPFIN is niet versleuteld. • Voor TCPFIN moet er een SSL Closure komen.

  12. Massage Authentication Code(MAC) • We hebben bericht b en een sleutel MA. • Hash b en MA met bijvoorbeeld SHA-1. • MAC = SHA-1(b, MA) • Versleutel bericht: (b, MAC) = y • Ontcijfer: y = (b, MAC) • Controleer integriteit: SHA-1(b, MA) == MAC

  13. Certificaten(PKI) • Naam eigenaar • Public key • Geldigheidsduur • Uitgever (CA) • Locatie van CertificateRevocation List • Versleuteling met private key van Hash(bovenstaand) • Ontsleutel met public key en controleer.

  14. SSL Zwakheden • Bestemming kan niet worden versleuteld. • Elk domein met certificaat kan eigen certificaat uitgeven. • Bool om te bepalen of dat mag. • Eerdere implementaties van SSL checkte deze niet.

  15. HTTPS • HTTP met een SSL verbinding. • HTTPS kan niet uit cache laden. • HTTP kan dit wel en is dus sneller • Alleen bij hoog risico pagina’s. • 1994: Ontwikkeld door Netscape voor de Netscape Navigator web browser.

  16. Valide HTTPS pagina’s • Te herkennen aan de https:// URL. • Authenticatie d.m.v. certificaten. • Browser geeft waarschuwing wanneer vals certificaat af wordt gegeven. • Positieve feedback door browser d.m.v. iconen en kleuren. • Positieve feedback op pagina d.m.v. iconen en kleuren.

  17. Negatieve Feedback

  18. Positieve Browser Feedback

  19. Positieve Pagina feedback

  20. Zwakheden en aanvallen • Bekend tussen wie en hoe lang er wordt gecommuniceerd. • Een vals certificaat afgeven in de hoop dat mensen toch doorklikken. • SSLStrip • Homograph Attack

  21. SSL Strip • Mensen bereiken HTTPS via buttons. • Na HTTPS request, HTTP versie terug sturen. • Cookies na zoveel tijd verwijderen.

  22. HTTP versus HTTPS

  23. HTTP versus HTTPS

  24. Homograph Attack • Vraag een certificaat aan voor een domein die zelfde oogt. • paypai.com => paypaI.com (hoofdletter i) • Beter: vervang ‘/’ door een van de vele tekens die er hetzelfde uitzien. • Voordeel: krijgt positieve feedback van browser.

  25. Combinatie SSLStrip en Homograph • Nadeel homograph: valse button op een eigen pagina. • Nadeel SSLStrip: Geen positieve feedback. • Combinatie: MitM attack, wanneer HTTPS request voorbij komt, door verwijzen naar eigen homograph webpagina. • Bescherming?

  26. Oscar is blij! • Alle verbindingen over HTTPS. • Kost te veel processing tijd dus wordt niet gedaan. • Deze aanval blijft effectief. • Kinderwerk met de SSLStrip applicatie. • (Dit is Succes kid Oscar -------->)

  27. SSH • Commando’s over netwerk naar ander apparaat. • 1995: SSH 1.0 Password sniffing tegen gaan. • 2000: OpenSSH • 2006: SSH 2.0 MAC en Diffie-helman om zwakheden tegen te gaan.

  28. SSH Werking • Transport Laag: • Authentiseert server d.m.v. asymmetrische crypto. • Verstuurd en vernieuwd sleutels • User Authenticatie laag: • Authenticatie van cliënt d.m.v. wachtwoorden, sleutels, keyboard interactie etc. • Connectie laag: • Direct-tcpip, forwarded-tcpip en shell

  29. Zwakheid • Man-in-the-middle attack. • Doet zich voor als server. • Vraagt om password. • Heeft password onderschept en kan inloggen op server. • Werkt alleen bij servers die passwords als user authenticatie gebruikt en nooit eerder communicatie tussen server en cliënt heeft plaats gevonden.

  30. Conclusie • SSL, HTTPS en SSH worden wereldwijd gebruikt. • SSL wordt als erg veilig gezien wanneer goed geïmplementeerd. • HTTPS heeft een ernstige zwakheid. • SSH is ook veilig wanneer user authenticatie wordt gedaan op een andere manier dan Passwords.

  31. Nog vragen?

More Related