aplikacje i usługi

Protokoły wyższych warstw
Protokoły pośredniczące:
RPC – Remote Procedure Call – zdalne wywołanie procedury
4 bajtowe numery usług RPC
Serwery lokalizujące usługi RPC – portmapper i RPC Lokator ( Windows NT)
NetBIOS ponad TCP/IP (NetBT)
Zwykle ponad NetBT lub czasem bezpośrednio na TCP/IP (CIFS) – TCP/UDP port 445
TLS i SSL ( Secure Socket Layer)
Usługi nazewnicze – UDP 137
Datagramowe - UDP 138
Sesyjne – TCP 139
CIFS i SMB ( Common Internet File Systems , Server Message Block)
Port TCP i UDP 111 dla RPC Suna i 135 dla RPC MS
Serwery usług rejestrują usługę w portmapperze
SSL produkt Netscape’a 1993
Do przenoszenia HTTP – wydajny przy krótkich bezstanowych połączeniach, może być
podtrzymany przez serię połączeń http.
SSL3 , TLS ( Transport Layer Security – IETF RFC 2246)
IPsec
AH – Authentication Header – Protokół numer 51
ESP – Encapsulating Security Payload – Protokół numer 50
ISAKMP – Internet Security Association Key Managment Protocol – przez UDP 500
Tryb transportowy – AH lub ESP za nagłówkiem IP
Tryb tunelowy – cały pakiet umieszczony w nowym IP
Bezpieczeństwo IPv4 i IPv6
IPSec
Bezpieczne łączenie filii firmy przez Internet
Bezpieczny zdalny dostęp przez Internet
Łączność extranet (zewnętrzna) i intranet (wewnętrzna)
Wzbogacone bezpieczeństwo działalności komercyjnej
Obszar IPSec
Nagłówek poświadczenia (AH)
Kapsułkowanie zabezpieczonych danych (ESP)
Wymiana kluczy
RFC 2401,2402,2406,2408
Security Association
(Bezpieczne Połączenie)
Jednostronna relacja między nadawcą a
odbiorcą
Dla obustronnej, dwa połączenia (skojarzenia)
są wymagane
Trzy parametry identyfikacji SA
Współczynnik bezpieczeństwa
Docelowy adres IP
Identyfikator protokołu bezpieczeństwa
Parametry SA
Licznik numerów sekwencyjnych
Limit licznika
Okna anty-odpowiedzi
Informacja AH (nagłówek poświadczenia)
Informacja ESP (Kapsułkowanie
zabezpieczonych danych)
Czas trwania SA
Tryb protokołu IPSec
Tunelowy, transportowy lub „wildcard” (mieszany)
Ścieżka MTU
Tryby transportu i tunelu
Tryb transportu
Ochrona dla protokołów wyższej warstwy
Ogranicza się do pola danych w pakiecie IP
End-to-end pomiędzy hostami
Tryb tunelu
Ochrona dla IP
Cały pakiet traktowany jako dane do zewnętrznego
pakietu
Żaden ruter nie rozszyfrowuje pakietu
Może mieć inne adresy źródłowe i docelowe
Może być zaimplementowany w firewall’u
Nagłówek Poświadczenia (AH)
IPsec
The IPsec authentication header in transport
mode for IPv4.
Kapsułkowanie
zabezpieczonych danych
ESP(Encapsulating Security Payload)
Usługi wymagające poufności
Pakiet ESP
Zakres ESP
Zarządzanie Kluczami
Ręczne
Automatyczne
ISAKMP/Oakley
⌧Protokół Oakley do wyznaczania kluczy
⌧Internetowy protokół bezpiecznego połączenia i zarządzania
kluczami (Internet security association and key management
protocol)
Bezpieczeństwo w stosie
protokołów TCP/IP
SSL ( Secure Socket Layer)
SSL produkt Netscape’a 1993
Do przenoszenia HTTP – wydajny przy krótkich bezstanowych połączeniach, może być
podtrzymany przez serię połączeń http.
SSL3 , TLS ( Transport Layer Security – IETF RFC 2246)
Grupa robocza TLS w ramach IETF
Pierwsza wersja TLS rozpoznawana jako SSLv3.1Transport
Layer Security
Ten sam format rekordu jak w SSL
Zdefiniowany w RFC 2246
Podobny do SSLv3.
Różnice:
⌧
⌧
⌧
⌧
⌧
⌧
⌧
⌧
⌧
version number
message authentication code
pseudorandom function
alert codes
cipher suites
client certificate types
certificate_verify and finished message
cryptographic computations
padding
SSL—The Secure Sockets Layer
Warstwy (i protokoły) dla przeglądania WWW z SSL
Architektura SSL
SSL – przesył danych
Transmisja danych z wykorzystaniem SSL.
Operacje protokołu SSL Record Protocol
Format protokołu SSL Record
Content Type – typ danych
20 - Change CipherSpec, 21 – Alert Protocol, 22 –Handshake, 23 – Application
Wersja
SSLv3 – 3,0
TLSv1 – 3,1
SSL Record Protocol Payload
Handshake Protocol
Najbardziej skomplikowana i rozbudowana część
SSL.
Pozwala na autentykację serwera i klienta
(opcjonalnie) względem siebie
Negocjuje szyfrowawanie, algorytmy interalności
(MAC), wymiana i ustalenie kluczy kryptograficznych
Używany przed transmisją danych aplikacji
SSL – protokół Handshake
Uproszczona wersja nawiązania połączenia SSL.
Składowe protokołu Handshake
Client Hello
Wersja protokołu
⌧ Jak w protokole Record
Wartość losowa
⌧ 32 bajtowa wartość losowa
• w tym 4 bajty czas ( w sekundach od Unixowej epoki –0:00,1.01.1970)
ID sesji
⌧ Łańcuch do 32 bajtów – 0 dla nowej sesji
• Wykorzystanie informacji z poprzedniej sesji
Lista proponowanych algorytmów kryptograficznych
⌧ Od najbardziej preferowanych
Lista proponowanych algorytmów kompresji
Server Hello
Składnia jak w Client Hello
⌧ Ale algorytmy wybrane przez z server z listy proponowanych
⌧ ID sesji może być ustawione, jeśli server dopuszcza wznawianie sesji
Certificate
Jedno pole – łańcuch certyfikatów – X.509 ( v3)
Server Hello Done
Komunikat bez pól – ale niezbędny
Składowe protokołu Handshake
ClientKeyExchange
Do przekazania pre_master_secret
⌧ 48 bajtów ( w tym 2 wersja protokołu)
Składnia
⌧ Rodzaj algorytmu ( RSA, DH)
⌧ Zakodowana wartość pre_master_secret ( dla RSA)
•
Kluczem publicznym servera ( z łańcucha certyfikatów)
⌧ Wartość publiczna algorytmu Diffie-Hellmana ( dla DH)
Finished
Pierwszy zaszyfrowany komunikat
MD5 (16 bajtów) i SHA_hash (20) (dla SSLv3) wszystkich dotychczasowych
komunikatów + wartość master_secret
Dane potwierdzające dla TLSv1
⌧ Też skróty MD5 i SHA-1 – konkatenowane i obcięte do 12 bajtów
ChangeCipherSpec
Komunikat protokołu CipherSpec
Wysyłany przez Klienta i server
⌧ Po jego przesłaniu dane są szyfrowane kluczami wygenerowanymi w oparciu o master_secret i
liczby losowe
Handshake Protocol Action
Protokół Alert
Status błędu
Jednobajtowe pole
⌧1 – ostrzeżenie
⌧2 – błąd krytyczny
Opis błędu
Identyfikator błędu – jednobajtowy
⌧W TLSv1 – 23 kody
•
•
•
•
•
0 – close_notify – żądanie zamknięcia połączenia - to nie błąd !!
10 – unexpected_message
20 – bad_record_mac
21 - decryption_failed
48 – unknown_ca
Wspierane algorytmy –
generowanie kluczy
Algorytmy symetryczne
DES (56bit), 3 DES(112b/168b), RC2, RC4
Algorytmy klucza asymetrycznego
RSA, Diffie-Hellman (DH) – 512-1024-2048 bitów
Funkcje skrótów –
MAC, HMAC (Hash-keyed Message Authentication Code)
MD-5 (128 bitów), SHA-1 (160bitów) (Secure Hash Algorithm)
Podpisy cyfrowe
RSA , DSA ( Digital Signature Algorithm)
Generowanie kluczy
Lista algorytmów, wartość losowa
Przesłanie pre_master_secret ( RSA lub DH)
Wytworzenie po obu stronach master_secret
Generowanie kluczy symetrycznych – na bazie master_secret i liczb losowych
4 rodzaje kluczy 2*HMAC, do szyfrowania
Poufność kluczy i składowych
W transmisji
Zmienność w czasie
⌧ Perfect Forward Secrecy
Przechowywanie w systemach
SSL
Inne zastosowania SSL
VPN
OpenSSL / OpenVPN
⌧Konkurencja dla IPsec
⌧User Space
⌧UDP port 5000
• Dlaczego UDP a nie TCP ?
⌧
Protokoły pośredniczące
Remote Access Services ( RAS)
Tunelowanie
PPTP – Point to Point Tunneling Protocol
L2F – Layer 2 Forwarding
Rozszerzenie PPP – szyfrowanie pakietów PPP i przenoszenie ich przez GRE
Produkt Cisco
L2TP – Layer 2 Tunnelig Protocol
Działa ponad IP z własnym nagłówkiem IP i UDP port 1701
Często szyfrowany przez IPsec ESP – łącznie 3 nagłówki IP
IP – ESP – IP – UDP – L2TP – IP – TCP – Dane ....
GRE – Generic Routing Encapsulation
Enkapsulacja IP w IP
Protokół numer 47
Różne wartości typów protokołu GRE
PPP x880B
Aplikacje :
Architektura klient – serwer
Pasywne otwarcie po stronie serwera –
Aktywne ze strony klienta
Porty poniżej i powyżej 1023
Obciążenia stron ( telnet, X11, http)
Demony (httpd , named, ftpd etc. )
Protokoły usług
Klienci zazwyczaj powyżej 1023
Serwery różnie –dobrze znane porty, przewaga portów poniżej
1023
Komendy
Format
Protokoły międzywarstwowe
SSL
Aplikacje:
Usługi nazewnicze i katalogowe:
DNS ( Domain Name System)
NIS ( Network Information Services)
Dawniej yp – yellow pages
NetBIOS Name Service z TCP, WINS
Tłumaczy nazwy netbiosowe na IP
WINS ( Windows Internet Name Service) , Serwer WINS
Przeglądarka Windows
Light Directory Access Protocol
Obsługa dostępu do baz katalogowych
Też wyszukiwanie informacji
Może wykorzystywać TLS , LDAPS – szyfrowanie połączeń
Active Directory
Obsługa listy w otoczeniu sieciwym
Bazuje na NetBT (porty UDP i TCP –137-139)
LDAP
Czyli NetBT Name Server - NBNS
Usługa katalogowa w Windows 2000, 2003
Korzysta i z DNS i LDAP
Stare aplikacje wyszukiwania informacji o użytkownikach
Finger, whois
DNS
System nazw –
Hierarchiczny – struktura drzewa
Domeny –
Przechowywanie i uzyskiwanie informacji
Rozproszona baza danych
Serwery nazw
Primary
Secondary
Caching
BIND – Berkeley Internet Name Domain
Resolver
Demon named
Rodzaje zapytań – rekurencyjne i iteracyjne
Pamięć podręczna
Generic ( com, net, gov, )
Krajowe ( us, pl, uk, dk ... )
Domeny typu 2.168.200.in-addr.arpa
Efektywność
Autoryzacja
Ipconfig /displaydns /flushdns
Rodzaje rekordów
A, NS, PTR, Cname, MX , Hinfo, SOA, TXT
Format komunikatu DNS
0
8
Identyfikacja
16
24
Parametr
Liczba pytań
Liczba odpowiedzi
Liczba autorytetów
Liczba dodatkowych
Pytania
.....................
Odpowiedzi
............................
Autorytety
.....................
Informacje dodatkowe
.......................
32
Parametry komunikatu DNS
Bity
0
1-4
Znaczenie
Operacja – 0 – pytanie ; 1 odpowiedź
Typ pytania – 0 – standardowe; 1 odwrotne
5
6
1 – jeśli odpowiedź autorytatywna
1 – przy skróconych komunikatach
7
1 – gdy żądana rekursja
8
1 – gdy rekursja dostępna
9-11
zarezerwowane
12-15
Typy odpowiedzi : 0 – poprawna; 1 – błąd
formatu pytania; 2 – awaria serwera; 3 – nie ma
takiej nazwy
Format pozycji pytania
0
8
16
NAZWA
24
.....................
TYP
KLASA
Klasa – Internet
Typ – np. A, MX etc.
Nazwa – dowolna liczba oktetów (też nazwy skrócone)
32
Format rekordu zasobu
0
8
16
Nazwa zasobu
24
.....................
Typ
Klasa
Czas życia
Długość danych
Dane
........................
..................
.....................
32
System nazw dziedzin DNS
Format skompresowanych nazw
Reprezentacja nazw – ciąg etykiet
⌧Pierwszy oktet – długość etykiety
⌧Pobranie etykiety
⌧....
⌧Oktet długości = 0 – koniec nazwy
Kompresja
⌧Wskaźniki do segmentów nazw
⌧Oktet długości –
• Jeśli dwa najstarsze bity 11 to – następne 14 bitów jest
wskaźnikiem
• Jeśli nie – to 6 bitów stanowi o długości segmentu nazwy
Skróty nazw dziedzin
Obszary dziedziny ( analogia obszaru telefonii)
Sufiksy dziedziny
Np.
⌧
⌧
⌧
⌧
zsk.p.lodz.pl
cc.p.lodz.pl
p.lodz.pl
lodz.pl
Przetwarzanie według kolejności – powinno być od
domen najniższego rzędu ( „najdłuższych” )
DNS
Odwzorowania odwrotne
Zapytania odwrotne ( inverse queries )
Do serwera wysyłana jest odpowiedź
⌧Serwer odsyła zapytanie jakie by wywołało
⌧Problem jednoznaczności
⌧Trudności po stronie serwera – praktycznie przeszukanie całej
przestrzeni nazw
⌧Zwykle nie używane
Pytania ze wskaźnikiem
Zapytanie ze wskaźnikiem – pointer query
Domeny typu
⌧ 2.168.200.in-addr.arpa
⌧ 130.2.168.200.in-addr.arpa
Odpowiedzialność za poddziedzinę
Strefy autorytetu
Pliki strefowe, transfer strefy
Pytania i odpowiedzi MX
Dodatkowo rekordy A dla nazw MX ( efektywność)
Zdalne użytkowanie systemów:
telnet
Dostęp terminalowy, port 23 TCP
Bezpieczeństwo – przesyłanie hasła otwartym tekstem
Windows 2000 – uwierzytelnianie NTLM (NT LanMan)
Rlogin ( remote)
Też zdalne wykonywanie polecenie (rsh,rcp,rdump etc. )
Bez przesyłania haseł, ale oparte na zaufaniu do adresu hosta (?!)
SSH – secure shell
Szyfrowanie połączeń, port 22 TCP
Kilka sposobów uwierzytelniania zarówno klienta jak i serwera SSH
Możliwości przekazywania portów – tunelowanie
Tworzenie szyfrowanych połączeń np. do kopiowania plików, dostępu do poczty etc.
Też obsługa połączeń X windows
X-windows - Zdalne interfejsy graficzne
Pliki rhosts
Odwrotna relacja Klient – Serwer ( serwer, to ekran, mysz,klawiatura)
Sposób uruchomienia ( startx)
Zdalne interfejsy graficzne dla systemów Microsoft Windows
ICA (Independent Computing Architecture) – CITRIX
Microsoft Terminal Server, RDP – Remote Desktop Protocol
Transmisja, współdzielenie plików,
drukowanie
FTP file transfer protocol
TFTP - trivial file transfer protocol
Sieciowy dostęp do plików na udostępnionych dyskach
Protokół bezstanowy – działanie niezależne od poprzednich transakcji
Podstawowy mechanizm współdzielenia plików w Uniksie
Prosty protokół RPC oparty zazwyczaj o UDP – najczęściej port 2049, lub wykorzystanie
portmappera
Korzysta z innych usług RPC ( montowanie plików, blokady, wznowienia etc.)
CIFS – Common Internet File System
Uproszczony protokół przesyłania plików
Oparty na UDP – serwery monitorują port 69, transmisja porty powyżej 1023
Brak uwierzytelniania
Prosty protokół startowy (maszyny bezdyskowe: terminale, routery)
NFS - Network File System
Standard transmisji plików w Internecie
Nad TCP/IP
SMB – Server Message Block
NetBEUI, i NetBT nad TCP/IP
Samba – Klient SMB dla Uniksa
FTP
Tryby aktywny (zwykły) i pasywny ( połączenia TCP)
Porty 21 i 20
Linia kontroli i komend (port 21)
Linia przesyłu danych (port 20)
Tryb pasv
Tryb aktywny
Po tej komendzie – serwer odpowiada OK i numer portu transferu
danych
Kanał danych otwiera klient
Klient używa portu źródłowego o 1 większy niż do linii komend i
przeznaczenia otrzymanego od serwera w linii komend
Trudności przy translacji adresów np. NAT
Kanał danych otwiera serwer z portu 20 do portu 1 większy od portu
źródłowego klienta linii komend ( wcześniej rezerwacja portu przez
klienta i przekazanie go poleceniem FTP PORT ..... )
Użytkownicy anonimowi
Anonimowy dostęp do serwerów ftp
Obecnie często skorelowany z serwerami www
Poczta elektroniczna - e-mail
Struktura usług:
MTA Mail Transfer Agent
MDA Mail Delivery Agent
Umieszcza pocztę we właściwej skrzynce na loklanym hoście
MUA Mail User Agent
Przyjmuje pocztę od zewnętrznych hostów lub ją tam wysyła
Agent użytkownika poczty – program pocztowy umożliwiający czytanie i redagowanie poczty
Wysyłanie poczty, działanie systemu
Protokoły
SMTP –Simple Mail Trasfer Protocol
System przechowaj i przekaż dalej (relay)
TCP port 25
MIME – Multimedia Internet Mail Extensions
Rozszerzenie podstwowego formatu o: zestawy znaków inny niż ASCII,dane nietekstowe, różne czcionki,
wiadomości różnych typów łącznie
S/MIME – obsługa szyfrowania i podpisów cyfrowych
ESMTP – extendend SMTP - komendy
Serwery SMTP : sendmail, smail, Qmail, Microsoft Exchange, Lotus Notes
POP Post Office Protocol
POP 3 – TCP 110
Protokół typu klient serwer do pobierania poczty z sewerów
Transfer haseł – APOP, POP przez SSL ( secure POP)
Poczta elektroniczna (2)
Protokoły cd.
IMAP Internet Message Access Protocol
Przechowywanie poczty na serwerach
/user/spool/mail/
Katalogi domowe programów lokalnych – pine, elm, mail etc.
Dostęp do skrzynek
POP-3, komendy
IMAP
Interfejs WWW
SPAM
Poczta niechciana
Wirusy, informacje handlowe i pseudohandlowe, łańcuszki św. Antoniego etc.
Relay , open relay
TCP port 143
Znacznie więcej możliwości niż POP
Wiadomości przechowywane na serwerach
Przekazywanie poczty pomiedzy serwerami
System news ( Usenet)
Protokół NNTP – Network News Transfer Protocol
Serwery i klienci, grupy dyskusyjne
Zarządzanie intersiecią
SNMP – Simple Network Managment Protocol
Monitory
Monitoring i konfiguracja urządzeń
Serwery pułapki ( trap)
Performance Monitor (MS)
Network Monitor ( MS)
Protokoły routingu
Pakiety ICMP
Protokoły startowe ( DHCP etc)
NTP – Network Time Protocol
UDP port 123
Sieć WWW – World Wide Web
Protokół http
Struktura hypertekstu
Przeglądarki ( browser)
Historia od 1993
HTTP – Hyper Text Transport Protocol
URL – Uniform Resource Locator – uniwersalne określanie zasobów
(połączeń)
Klienci protokołu http – też ftp, gophera, NNTP (news), SMTP
Współpraca z lokalnymi programami ( Adobe Reader, MS Office etc.)
Obsługa multimedialna
Pliki cookies ( ciasteczka)
Serwery
MS IIS, Apache
Demony httpd, serwery proxy, przyśpieszające i typu cache (np. squid)
Połączenia TCP bezstanowe, port 80
WWW cd.
Protokoły wymiany buforów cache
ICP – Internet Cache Protocol
CARP – Cache Array Routing Protocol
WCCP – Web Cache Coordination Protocol
Rozszerzenia WWW
Produkt Cisco
Dla routerów przechwytujących cały ruch http ( do portów 80)
Java script
VBscript
Java
CGI – Common Gateway Interface
ASP – Active Server Pages
ActiveX
Poufność i autentykacja
SSL, https ,
Certyfikaty serwerów
WWW cd.
Wyszukiwanie informacji
Technologie push
Technologie RealAudio i RealVideo
Zbieranie danych
Indeksowanie i katalogowanie
Uaktualnianie
Udostępnianie
RTP przez UDP
Zagadnienienia socjalne i biznesowe
Reklamy
Bannery
Serwery bannerów i ogłoszeń
Okna samootwierające się ( pop-up)