De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

SSL, HTTPS en SSH Johnny Schaap.

GepubliceerdMathilda Bos Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "SSL, HTTPS en SSH Johnny Schaap."— Transcript van de presentatie:

1 SSL, HTTPS en SSH Johnny Schaap

2 Inhoud TCP en UDP Het OSI model Secure Socket Layer(SSL)
Massage Authentication Code(MAC) Certificates Hyper Text Transfer Protocol Secure(HTTPS) Secure Shell (SSH)

3 TCP/IP model en OSI model

4 UDP en TCP UDP is niet connectie georiënteerd.
Is sneller dan TCP TCP is wel connectie georiënteerd. Heeft veel minder packet loss dan UDP Moet eerst opgezet worden. TCP-verbinding opzetten

5 SSL/TLS Geschiedenis Transport Layer Security(TLS)
1993: Netscape ontwikkeld SSL 1.0 1995: Netscape publiceert SSL 2.0 1996: Netscape publiceert SSL 3.0 1999: IETF doopte SSL om tot TLS 1.0 2006: TLS 1.1 met protectie tegen CBC attacks (d.m.v. padding en initialisatie vectoren) 2008: TLS 1.2 tegen andere aanvallen. Transport Layer Security(TLS)

6 SSL API en Sockets SSL zit tussen de Applicatie en Transport laag
Kurose J.F. & Ross K.W. (2009) “Computer Networking: A top down approach”, Addison-Wesley.

7 SSL verbinding 3 Fases Hand-shake fase Key derivation fase
Data transfer fase

8 SSL Hand shake Hand-shake fase bestaat uit 3 fases Hand-shake
Authenticatie Sleuteluitwisseling

9 SSL Key Derivation Alice(cliënt) en Bob(server) genereren beide:
EA = Encryptie/Decryptie van het bericht naar Alice EB = Encryptie/Decryptie van het bericht naar Bob MA = Integriteit check op Alice’s berichten. MB = Integriteit check op Bob’s berichten. Indien Cipher Block Chaining wordt gebruikt, genereren beiden 2 initialisatie vectoren.

10 SSL Data Transfer Data wordt in stukjes geknipt.
Data, MAC(+Nonce) worden versleuteld. Header bevat type, versie en lengte.

11 SSL verbinding verbreken
TCPFIN is niet versleuteld. Voor TCPFIN moet er een SSL Closure komen.

12 Massage Authentication Code(MAC)
We hebben bericht b en een sleutel MA. Hash b en MA met bijvoorbeeld SHA-1. MAC = SHA-1(b, MA) Versleutel bericht: (b, MAC) = y Ontcijfer: y = (b, MAC) Controleer integriteit: SHA-1(b, M A) == MAC

13 Certificaten(PKI) Naam eigenaar Public key Geldigheidsduur
Uitgever (CA) Locatie van Certificate Revocation List Versleuteling met private key van Hash(bovenstaand) Ontsleutel met public key en controleer.

14 SSL Zwakheden Bestemming kan niet worden versleuteld.
Elk domein met certificaat kan eigen certificaat uitgeven. Bool om te bepalen of dat mag. Eerdere implementaties van SSL checkte deze niet.

15 HTTPS HTTP met een SSL verbinding. HTTPS kan niet uit cache laden.
HTTP kan dit wel en is dus sneller Alleen bij hoog risico pagina’s. 1994: Ontwikkeld door Netscape voor de Netscape Navigator web browser.

16 Valide HTTPS pagina’s Te herkennen aan de https:// URL.
Authenticatie d.m.v. certificaten. Browser geeft waarschuwing wanneer vals certificaat af wordt gegeven. Positieve feedback door browser d.m.v. iconen en kleuren. Positieve feedback op pagina d.m.v. iconen en kleuren.

17 Negatieve Feedback

18 Positieve Browser Feedback

19 Positieve Pagina feedback

20 Zwakheden en aanvallen
Bekend tussen wie en hoe lang er wordt gecommuniceerd. Een vals certificaat afgeven in de hoop dat mensen toch doorklikken. SSLStrip Homograph Attack

21 SSL Strip Mensen bereiken HTTPS via buttons.
Na HTTPS request, HTTP versie terug sturen. Cookies na zoveel tijd verwijderen.

22 HTTP versus HTTPS

23 HTTP versus HTTPS

24 Homograph Attack Vraag een certificaat aan voor een domein die zelfde oogt. paypai.com => paypaI.com (hoofdletter i) Beter: vervang ‘/’ door een van de vele tekens die er hetzelfde uitzien. Voordeel: krijgt positieve feedback van browser.

25 Combinatie SSLStrip en Homograph
Nadeel homograph: valse button op een eigen pagina. Nadeel SSLStrip: Geen positieve feedback. Combinatie: MitM attack, wanneer HTTPS request voorbij komt, door verwijzen naar eigen homograph webpagina. Bescherming?

26 Oscar is blij! Alle verbindingen over HTTPS.
Kost te veel processing tijd dus wordt niet gedaan. Deze aanval blijft effectief. Kinderwerk met de SSLStrip applicatie. (Dit is Succes kid Oscar >)

27 SSH Commando’s over netwerk naar ander apparaat.
1995: SSH 1.0 Password sniffing tegen gaan. 2000: OpenSSH 2006: SSH 2.0 MAC en Diffie-helman om zwakheden tegen te gaan.

28 SSH Werking Transport Laag: User Authenticatie laag: Connectie laag:
Authentiseert server d.m.v. asymmetrische crypto. Verstuurd en vernieuwd sleutels User Authenticatie laag: Authenticatie van cliënt d.m.v. wachtwoorden, sleutels, keyboard interactie etc. Connectie laag: Direct-tcpip, forwarded-tcpip en shell

29 Zwakheid Man-in-the-middle attack. Doet zich voor als server.
Vraagt om password. Heeft password onderschept en kan inloggen op server. Werkt alleen bij servers die passwords als user authenticatie gebruikt en nooit eerder communicatie tussen server en cliënt heeft plaats gevonden.

30 Conclusie SSL, HTTPS en SSH worden wereldwijd gebruikt.
SSL wordt als erg veilig gezien wanneer goed geïmplementeerd. HTTPS heeft een ernstige zwakheid. SSH is ook veilig wanneer user authenticatie wordt gedaan op een andere manier dan Passwords.

31 Nog vragen?

Download ppt "SSL, HTTPS en SSH Johnny Schaap."

Verwante presentaties

Het internet.

Het internet.
Hoe veilig is moderne communnicatie?

Hoe veilig is moderne communnicatie?
Hardware voor draadloos netwerk

Hardware voor draadloos netwerk
OpenPGP en X.509 Leon Kuunders Nedsecure Consulting OpenPGP als PKI voor bedrijven.

OpenPGP en X.509 Leon Kuunders Nedsecure Consulting OpenPGP als PKI voor bedrijven.
Netwerken soorten verbindingen protocollen soorten signalen

Netwerken soorten verbindingen protocollen soorten signalen
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.

EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.

Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.
Blok 7: netwerken Les 7 Christian Bokhove.

Blok 7: netwerken Les 7 Christian Bokhove.
SamenVeilig.net Het effectieve groepsbeveiligingssysteem van BySpy.

SamenVeilig.net Het effectieve groepsbeveiligingssysteem van BySpy.
E-RADEN 2010-2011 Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.

E-RADEN Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.
Blok 7: netwerken Les 6 Christian Bokhove. Internet Protocol - IP  De Internet Service verschaft een dienst die: – Vebindingsloos is – Onbetrouwbaar.

Blok 7: netwerken Les 6 Christian Bokhove. Internet Protocol - IP  De Internet Service verschaft een dienst die: – Vebindingsloos is – Onbetrouwbaar.
INTRODUCTIE INTERNET. Agenda  Internet Introductie  Techniek van het Internet  Mogelijkheden van het Internet  Zelf Surfen op het Internet.

INTRODUCTIE INTERNET. Agenda  Internet Introductie  Techniek van het Internet  Mogelijkheden van het Internet  Zelf Surfen op het Internet.
Internet College 1 Architecturen.

Internet College 1 Architecturen.
Beveiligd berichtenverkeer Lust of Last ?

Beveiligd berichtenverkeer Lust of Last ?
Voorbeeld Betaalautomaat objecten (“wie”) klant bank interface (“wat”)

Voorbeeld Betaalautomaat objecten (“wie”) klant bank interface (“wat”)
Dorien Oostra Tanja van Essen Charlotte Westbroek

Dorien Oostra Tanja van Essen Charlotte Westbroek
Vervolg theorie Orientatie voor de nieuwe opdracht.

Vervolg theorie Orientatie voor de nieuwe opdracht.
Tentamen Maandag, 1 juli H en H.2.403

Tentamen Maandag, 1 juli H en H.2.403
Presentatie Thuisnetwerken

Presentatie Thuisnetwerken
Google Analytics. Google Analytics: waarom Google analytics meet hoeveel mensen er op de site komen, brengt in beeld wat we weten van dit mensen en wat.

Google Analytics. Google Analytics: waarom Google analytics meet hoeveel mensen er op de site komen, brengt in beeld wat we weten van dit mensen en wat.

Verwante presentaties

Ads door Google