Rolf Oppliger, Internet and Intranet Security, Artech House, 1998, pp. 215

1
Ulasim Katmani Güvenlik Protokolleri

• Rolf Oppliger, Internet and Intranet Security,
  Artech House, 1998, pp. 215247.

2
Içerik

• Ilkel iletisim kurallari
• Secure Shell
• Secure Sockets Layer
• Private Communication Technology
• Transport Layer Security Protocol

3
Giris

• Ilkel iletisim kurallari
• SP4 (Security Protocol 4)
• NSA, NIST tarafindan SDNS kapsaminda
• TLSP (Transport Layer Security Protocol)
• ISO tarafindan
• ESM (Encrypted Session Manager)
• ATT Bell Labaratuvarlari tarafindan

4
Secure Shell

• Tatu Ylönen tarafindan
• SSH ve F-Secure SSH adiyla iki ayri dagitimi
  vardir.
• IANA tarafindan 22 kapi SSHa ayrilmistir.
• 6 iletiyle bag kurulur.

5
Secure Shell
Sunucu
Istemci
Asillama Istegi
Konak Anahtari Sunucu Anahtari
Konak(Sunucu(Oturum Anahtari))
Oturum(TAMAM)
Açik Konak Anahtari 1024 bit RSA Açik sunucu
Anahtari 768 bit RSA Oturum Anahtari 256 bit
rastgele sayi (Blowfish, DES, 3-DES)
6
Secure Shell
Server
Client
Authentication Request
Host Key Server Key
Host(Server(Session Key))
Session(OK)
Public Host Key 1024 bit RSA Public Server Key
768 bit RSA Session Key 256 bit random number
(Blowfish, DES, 3-DES)
7
SSH Ulasim Katmani Iletisim Kurallari

• Sunucu Asillama
• Veri Gizleme
• Veri Bütünlügü
• ile ilgilenir
• Kullanici Asillama
• ile ilgilenmez

8
SSH Ulasim Katmani Iletisim Kurallari
Sikistirma algoritmalari Sikistirma algoritmalari Sikistirma algoritmalari
yok sikistirma yok Zorunlu
zlib GNU ZLIB seçimli
Sifreleme algoritmalari Sifreleme algoritmalari Sifreleme algoritmalari
yok sifreleme yok seçimli
3des-cbc 3-DES zorunlu
idea-cbc IDEA seçimli
arcfour ARCFOUR seçimli
blowfish-cbc Blowfish seçimli
Asillama algoritmalari Asillama algoritmalari Asillama algoritmalari
yok asillama yok seçimli
hmac-md5 HMAC-MD5 seçimli
hmac-sha HMAC-SHA seçimli
md5-8 8 bayt MD5 veri anahtar seçimli
sha-8 8 bayt SHA veri anahtar seçimli
sha SHA veri anahtar zorunlu
Anahtar degisimi algoritmasi Anahtar degisimi algoritmasi Anahtar degisimi algoritmasi
double-encrypting-sha çifte sifreli anahtar degisimi zorunlu
9
SSH Asillama Iletisim Kurallari
Asillama Yöntemleri
password
securid
skey
opie
publickey
hostbased
kerberos4
kerberos5
kerberos-afs
10
Secure Sockets Layer

• Netscape Corp. tarafindan
• 1.0 sürümü sadece Netscape tarafindan
  kullanilmistir. Netscape Navigator 1 ve 2de 2.0
  sürümü kullanilmistir. Güncel sürümü 3.0.
• 7 13 ileti ile bag kurulur.

11
Secure Sockets Layer
Client
Server
Application
Application
SSL Handshake
SSL Handshake
S S L
SSL Record
SSL Record
TCP / IP
TCP / IP
12
Secure Sockets Layer
Istemci
Sunucu
Uygulama
Uygulama
SSL Tokalasma
SSL Tokalasma
S S L
SSL Kayit
SSL Kayit
TCP / IP
TCP / IP
13
Secure Sockets Layer

• Uygulama katmani ile ulasim katmani arasina
  yerlestiginden her uygulama ile kullanilabilir.
• Her uygulamaya ayri kapi verilebilir.
• Kapi numaralari degistirilmez, güvenlik uygulama
  protokolünün bir parçasi olur.
• TCPye SSL seçenegi eklenebilir.

14
SSL Kayit Protokolü
Veri Parçasi
Parçalama (en fazla 16383 sekizli)
SSL Düz Metin
Sikistirma
SSL Sikistirilmis Metin
Sifreleme
SSL Sifreli Metin
15
SSL Kayit Protokolü

• Protokol, parçalama, sikistirma, asillama ve
  sifreleme ile ilgilenir.
• Her kaydin sonunda öz bilgisi vardir. Öz, tekrar
  ataklarindan korunmak amaciyla sira numarasi
  içerir.
• Üzerinde diger protokoller çalisir
• Alert Protocol
• Handshake Protocol
• ChangeCipherSpec Protocol

16
SSL Tokalasma Protokolü

• 1 C -gt S CLIENTHELLO
• 2 S -gt C SERVERHELLO
• CERTIFICATE
• SERVERKEYEXCHANGE
• CERTIFICATEREQUEST
• SERVERHELLODONE
• 3 C -gt S CERTIFICATE
• CLIENTKEYEXCHANGE
• CERTIFICATEVERIFY
• CHANGECIPHERSPEC
• FINISHED
• 4 S -gt C CHANGECIPHERSPEC
• FINISHED

CLIENTHELLO Desteklenen en yüksek SSL
Sürümü Zaman damgasi ve rastgele sayi Oturum
kimligi Desteklenen sifreleme yöntemleri Desteklen
en sikistirma yöntemleri
SERVERHELLO Desteklenen en düsük SSL
Sürümü Zaman damgasi ve rastgele sayi Oturum
kimligi Desteklenen sifreleme yöntemleri Desteklen
en sikistirma yöntemleri
17
Private Communication Technology

• Microsoft Corp. Tarafindan
• SSL 2.0 ile neredeyse ayni özellikleri tasir.
• PCT Record protokolü ve üzerinde çalisan PCT
  Handshake protokolünden olusur.
• 4 ileti ile bag kurulur.

18
Transfer Layer Security Protocol

• IETF tarafindan SSL 2.0, SSL 3.0, PCT 1.0 ve SSH
  2.0 temel alinarak olusturulmustur.
• SSL 3.0 ile ayni taslaga sahiptir.
• IPSecde uygulanan HMAC yapisi getirilmistir.
• FORTEZZA asillamasi çikarilmistir.
• 1.0 sürümü SSL 3.0 ile uyumludur.

19
Transfer Layer Security Protocol

• TLS Record
• TLS Handshake
• TLS Change Cipher Spec Protocol
• TLS Alert Protocol
• TLS Handshake Protocol
• Öneriler
• Kerberos asillamasi
• Parola asillamasi

20
Sonuçlar

• Bahsedilen güvenlik protokollerinin hepsi TCP
  üzerinde çalisiyor. UDP için tanimlanmis bir sey
  yok.
• Vekil sunucular kullanilamaz.
• Paketler süzülebilir.
• SOCKS ya da baska bir tünelleme kullanilabilir.
• SSL Tünelleme
• Vekil sunucu SSL kullanabilir.
• Ihraç yasaklari
• Amerika ve Kanada disinda gerçeklenmis
  programlar.
• Amerika ve Kanada disinda gerçeklenmis vekil
  sunucu yazilimlari