4794
Комментарий:
|
4982
|
Удаления помечены так. | Добавления помечены так. |
Строка 74: | Строка 74: |
* `# cert-sh generate lighttpd` и `sh -x cert-sh generate lighttpd` * `[root@uneexclient ~]# LC_ALL=C lynx https://uneex.ru` * `[root@uneexclient ~]# LC_ALL=C lynx https://srv` |
Сетевые протоколы в Linux: вопросы безопасности
Безопасность: надёжность и секретность.
Ненадёжная природа всемирной сети и борьба с ней
- Повышение связности
- IPv6: решение возможных вопросов гарантированного канала
- Overprovisioning
Секретность и Интернет
- Проблемы аутентичности данных
- Проблемы скрытия данных
Чрезмерно упрощённая классификация видов атак:
- Порча данных и DOS
- Трансляция фальшивых данных
- Чтение
- Модификация
История сетевых протоколов в свете защиты данных
Просто протоколы: FTP, SMTP, POP, … (см. man dsniff)
- Security through obscurity и другие наивные методы шифрования (например, обмен ключами в начале сеанса), Basic HTTP Auth, MIT-MAGIC-COOKIE-1 и т. п.
- Проблема обмена ключами
- Введение алгоритмов шифрования:
- в прикладной протокол
- в «уровень представления» согласно модели ISO/OSI
- Использование асимметричного шифрования
IPSec и другие методы шифрования низкоуровневого трафика
- «родной» IPSec: шифрование payload IP-пакета
NAT ⇒ невозможность расшифровки
- туннелированый IPSec: инкапсуляция исходного пакета (⇒ MTU-=H, FW)
- «родной» IPSec: шифрование payload IP-пакета
«Полицейские и воры» в современной криптографии (см. историю атак на SSL/T%LS)
Симметричное асимметричное шифрование
Симметричное шифрование:
- Обмен ключами ⇒ вероятность засвечивания
- Мнение папаши Мюллера: «Что знают двое, знает и свинья»
- Нет аутентичности
Асимметричное шифрование (Диффи, Хеллман, Меркель 1975), (Ривест, Шамир, Адельман 1977), (неизвестные британские учёные ранних 70-х):
- Начало:
- (Диффи, Хеллман, Меркель 1975) Использование различных, не выводимых друг из друга функций шифрования и дешифрования
- (Ривест, Шамир, Адельман 1977) RSA
- (неизвестные британские учёные ранних 70-х) «Мы это раньше открыли, но нас засекретили»
- Открытый (передаваемый) и закрытый (секретный) ключи:
- запрет передачи секретного ключа
обеспечение секретности: A: ОБ(данные) → B: ЗБ(данные)
обеспечение аутентичности: A: ЗА(данные) → B: ОА(данные)
- Вычислительная сложность, использование симметричного шифрования
- Проблема надёжности первоначального обмена ключами
- Атака «man-in-the-middle»
- Подписывание ключа?
Использование шифрования
- PGP (Циммерман)
- серверы публикации открытых ключей
- цепочка достоверности
- TLS/SSL:
- сертификат
- подписанный сертификат и торговля ими
- SSH
- шифрование учётных записей и трафика
- авторизация по ключу
- проброс портов и другая сетевая активность в защищённом туннеле
Д/З
- netcat, socat?
- dsniff?
- gpg (импорт ключа и идентификация сообщения)
- создание самоподписанного сертификата
# cert-sh generate lighttpd и sh -x cert-sh generate lighttpd
[root@uneexclient ~]# LC_ALL=C lynx https://uneex.ru
[root@uneexclient ~]# LC_ALL=C lynx https://srv