Title: Rolf Oppliger, Internet and Intranet Security, Artech House, 1998, pp. 215
1Ulasim Katmani Güvenlik Protokolleri
- Rolf Oppliger, Internet and Intranet Security,
Artech House, 1998, pp. 215247.
2Içerik
- Ilkel iletisim kurallari
- Secure Shell
- Secure Sockets Layer
- Private Communication Technology
- Transport Layer Security Protocol
3Giris
- Ilkel iletisim kurallari
- SP4 (Security Protocol 4)
- NSA, NIST tarafindan SDNS kapsaminda
- TLSP (Transport Layer Security Protocol)
- ISO tarafindan
- ESM (Encrypted Session Manager)
- ATT Bell Labaratuvarlari tarafindan
4Secure Shell
- Tatu Ylönen tarafindan
- SSH ve F-Secure SSH adiyla iki ayri dagitimi
vardir. - IANA tarafindan 22 kapi SSHa ayrilmistir.
- 6 iletiyle bag kurulur.
5Secure Shell
Sunucu
Istemci
Asillama Istegi
Konak Anahtari Sunucu Anahtari
Konak(Sunucu(Oturum Anahtari))
Oturum(TAMAM)
Açik Konak Anahtari 1024 bit RSA Açik sunucu
Anahtari 768 bit RSA Oturum Anahtari 256 bit
rastgele sayi (Blowfish, DES, 3-DES)
6Secure Shell
Server
Client
Authentication Request
Host Key Server Key
Host(Server(Session Key))
Session(OK)
Public Host Key 1024 bit RSA Public Server Key
768 bit RSA Session Key 256 bit random number
(Blowfish, DES, 3-DES)
7SSH Ulasim Katmani Iletisim Kurallari
- Sunucu Asillama
- Veri Gizleme
- Veri Bütünlügü
- ile ilgilenir
- Kullanici Asillama
- ile ilgilenmez
8SSH Ulasim Katmani Iletisim Kurallari
Sikistirma algoritmalari Sikistirma algoritmalari Sikistirma algoritmalari
yok sikistirma yok Zorunlu
zlib GNU ZLIB seçimli
Sifreleme algoritmalari Sifreleme algoritmalari Sifreleme algoritmalari
yok sifreleme yok seçimli
3des-cbc 3-DES zorunlu
idea-cbc IDEA seçimli
arcfour ARCFOUR seçimli
blowfish-cbc Blowfish seçimli
Asillama algoritmalari Asillama algoritmalari Asillama algoritmalari
yok asillama yok seçimli
hmac-md5 HMAC-MD5 seçimli
hmac-sha HMAC-SHA seçimli
md5-8 8 bayt MD5 veri anahtar seçimli
sha-8 8 bayt SHA veri anahtar seçimli
sha SHA veri anahtar zorunlu
Anahtar degisimi algoritmasi Anahtar degisimi algoritmasi Anahtar degisimi algoritmasi
double-encrypting-sha çifte sifreli anahtar degisimi zorunlu
9SSH Asillama Iletisim Kurallari
Asillama Yöntemleri
password
securid
skey
opie
publickey
hostbased
kerberos4
kerberos5
kerberos-afs
10Secure Sockets Layer
- Netscape Corp. tarafindan
- 1.0 sürümü sadece Netscape tarafindan
kullanilmistir. Netscape Navigator 1 ve 2de 2.0
sürümü kullanilmistir. Güncel sürümü 3.0. - 7 13 ileti ile bag kurulur.
11Secure Sockets Layer
Client
Server
Application
Application
SSL Handshake
SSL Handshake
S S L
SSL Record
SSL Record
TCP / IP
TCP / IP
12Secure Sockets Layer
Istemci
Sunucu
Uygulama
Uygulama
SSL Tokalasma
SSL Tokalasma
S S L
SSL Kayit
SSL Kayit
TCP / IP
TCP / IP
13Secure Sockets Layer
- Uygulama katmani ile ulasim katmani arasina
yerlestiginden her uygulama ile kullanilabilir. - Her uygulamaya ayri kapi verilebilir.
- Kapi numaralari degistirilmez, güvenlik uygulama
protokolünün bir parçasi olur. - TCPye SSL seçenegi eklenebilir.
14SSL Kayit Protokolü
Veri Parçasi
Parçalama (en fazla 16383 sekizli)
SSL Düz Metin
Sikistirma
SSL Sikistirilmis Metin
Sifreleme
SSL Sifreli Metin
15SSL Kayit Protokolü
- Protokol, parçalama, sikistirma, asillama ve
sifreleme ile ilgilenir. - Her kaydin sonunda öz bilgisi vardir. Öz, tekrar
ataklarindan korunmak amaciyla sira numarasi
içerir. - Üzerinde diger protokoller çalisir
- Alert Protocol
- Handshake Protocol
- ChangeCipherSpec Protocol
16SSL Tokalasma Protokolü
- 1 C -gt S CLIENTHELLO
- 2 S -gt C SERVERHELLO
- CERTIFICATE
- SERVERKEYEXCHANGE
- CERTIFICATEREQUEST
- SERVERHELLODONE
- 3 C -gt S CERTIFICATE
- CLIENTKEYEXCHANGE
- CERTIFICATEVERIFY
- CHANGECIPHERSPEC
- FINISHED
- 4 S -gt C CHANGECIPHERSPEC
- FINISHED
CLIENTHELLO Desteklenen en yüksek SSL
Sürümü Zaman damgasi ve rastgele sayi Oturum
kimligi Desteklenen sifreleme yöntemleri Desteklen
en sikistirma yöntemleri
SERVERHELLO Desteklenen en düsük SSL
Sürümü Zaman damgasi ve rastgele sayi Oturum
kimligi Desteklenen sifreleme yöntemleri Desteklen
en sikistirma yöntemleri
17Private Communication Technology
- Microsoft Corp. Tarafindan
- SSL 2.0 ile neredeyse ayni özellikleri tasir.
- PCT Record protokolü ve üzerinde çalisan PCT
Handshake protokolünden olusur. - 4 ileti ile bag kurulur.
18Transfer Layer Security Protocol
- IETF tarafindan SSL 2.0, SSL 3.0, PCT 1.0 ve SSH
2.0 temel alinarak olusturulmustur. - SSL 3.0 ile ayni taslaga sahiptir.
- IPSecde uygulanan HMAC yapisi getirilmistir.
- FORTEZZA asillamasi çikarilmistir.
- 1.0 sürümü SSL 3.0 ile uyumludur.
19Transfer Layer Security Protocol
- TLS Record
- TLS Handshake
- TLS Change Cipher Spec Protocol
- TLS Alert Protocol
- TLS Handshake Protocol
- Öneriler
- Kerberos asillamasi
- Parola asillamasi
20Sonuçlar
- Bahsedilen güvenlik protokollerinin hepsi TCP
üzerinde çalisiyor. UDP için tanimlanmis bir sey
yok. - Vekil sunucular kullanilamaz.
- Paketler süzülebilir.
- SOCKS ya da baska bir tünelleme kullanilabilir.
- SSL Tünelleme
- Vekil sunucu SSL kullanabilir.
- Ihraç yasaklari
- Amerika ve Kanada disinda gerçeklenmis
programlar. - Amerika ve Kanada disinda gerçeklenmis vekil
sunucu yazilimlari