Podsłuchiwanie szyfrowanych połączeń – niezauważalny atak na sesje SSL Paweł Pokrywka, Ispara.pl.

Slides:



Advertisements
Podobne prezentacje
Infrastruktura kluczy publicznych
Advertisements

Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Systemy uwierzytelniania w serwisach internetowych
IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
Procesory sieciowe w realizacji bezpieczeństwa danych
Usługi sieciowe Wykład 6 Apache2- debian
Projekt sieci WLAN w standardzie 802
Technologia VoIP.
WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
Protokoły internetowe
SSL - założenia i realizacja Prezentacja na potrzeby projektu E-Bazar Grupa R&D.
SSL - protokół bezpiecznych transmisji internetowych
Obsługa serwera zdalnego przez klienta FTP
Biznes elektroniczny W. Bartkiewicz
PKI, OPIE Auth Mateusz Jasiak.
PLANET ADW-4302 v2 Modem ADSL 2/2+, Router, Firewall, bezprzewodowy g.
SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
PLANET WLS-1280 Bezprzewodowy przełącznik sieci LAN
SSL.
Longhorn - Usługi terminalowe
Bezpieczeństwo sieci komputerowych
Protokoły internetowe
Zapewnianie bezpieczeństwa w sieciach
Artur Spulnik, Aleksandra Otremba
Inżynieria Oprogramowania
Zagrożenia bezpieczeństwa można podzielić na następujące klasy:
Usługi katalogowe LDAP.
System Użytkowników Wirtualnych
Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz
PKI – a bezpieczna poczta
Nowoczesny system zarządzania firmą
Historia Internetu Podstawowe pojęcia.
Microsoft Lync Efektywna komunikacja w Biznesie
Metody zabezpieczania transmisji w sieci Ethernet
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Prezentacja i szkolenie
TiTD Wykład 12 VoIP SSL i Kerberos.
Aby wejść na stronę główną Centrum Kształcenia Ustawicznego w Białymstoku, wpisz adres strony: (Rys.1.)
Podpis elektroniczny Między teorią a praktyką
„Bezpieczeństwo w Internecie”
Administracja systemami operacyjnymi Wiosna 2014
Toruń 28/ Shibboleth SP działa z poziomu serwera HTTP, jest niezależny od języka programowania, pozwala zintegrować dowolną aplikację ze środowiskiem.
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Active Directory Federation Services w Windows Server 2012 R2
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
10. KRYPTOGRAFICZNE PROTOKOŁY KOMUNIKACYJNE
Instalacja certyfikatu Dostęp do Rachunku przez Internet BS Pawłowice dla przeglądarki Mozilla Firefox.
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz OPROGRAMOWANIE„ZŁOSLIWE”
Maciej Wierzchowski Mariusz Sołtysiak. Założenia  Autentykacja użytkownia  Autentykacja dostawcy  Zapewnienie bezpiecznego połączenia.
Bezpieczeństwo w sieciach VoIP Wojciech Dymkowski s4459.
UNIWERSYTET WARSZAWSKI Bankowość elektroniczna
Dystrybucja kluczy. Plan wykładu Motywacja Dystrybucja kluczy dla szyfrowania konwencjonalnego Zarządzanie kluczami dla szyfrowania asymetrycznego Certyfikaty.
The OWASP Foundation Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under.
Istota informacji w e - handlu Tomek Marszał Wsinf 2016.
Elektroniczny Urząd Podawczy
Xnet Communications HOST Host udostępnia zasoby Guest przegląda zasoby GUEST Idea.
PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES
Paweł Pokrywka Kto kontroluje twój modem?
Instalacja i konfiguracja kontrolera domeny. Jest to komputer, na którym uruchomiono usługę Active Directory W małej sieci wystarczy jeden kontroler w.
Zabezpieczanie komputerów przed zawirusowaniem Metody ataków sieciowych.
SIECI KOMPUTEROWE WYKŁAD 8. BEZPIECZEŃSTWO SIECI
Wydział Matematyki, Informatyki i Architektury Krajobrazu
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Sieci komputerowe Usługi sieciowe 27/09/2002.
Istota informacji w e - handlu
Zapis prezentacji:

Podsłuchiwanie szyfrowanych połączeń – niezauważalny atak na sesje SSL Paweł Pokrywka, Ispara.pl

Plan prezentacji ● Co to jest SSL? ● Demonstracja ataku. ● Na czym polega atak? ● Jak się zabezpieczyć?

Co to jest SSL? ● Wikipedia: “SSL (ang. Secure Sockets Layer) - protokół, w swojej pierwotnej wersji zaprojektowany przez firmę Netscape Communications Corporation zapewniający poufność i integralność transmisji danych oraz zapewnienie uwierzytelnienia, opierający się na szyfrach asymetrycznych oraz tzw. certyfikatach standardu X.509.”

Topologia sieci ● Hosty wirtualne (qemu): – Serwer – Atakujący ● Host fizyczny – Użytkownik ● Wszystkie hosty znajdują się w jednej sieci – brctl addbr br0 – brctl addif br0 tap0 tap1 – /24

Instalacja serwera https ● Stworzenie certyfikatu ● Certyfikat typu Self Signed – nie trzeba płacić CA – technicznie takie samo bezpieczeństwo

Instalacja certyfikatu w przeglądarce ● Wygoda – nie trzeba za każdym razem akceptować połączenia ● Bezpieczeństwo – nikt nie przechwyci sesji (?) ● Jeśli pojawi się ostrzeżenie to oznacza, że ktoś próbuje przejąć sesję

Atak MitM ● Fałszywy serwer https ● Fałszywa strona logowania ● ARP Spoofing ● REDIRECT ● tail -f access_log ● Certyfikat!

Certyfikat = klucz pub. + podpis CA ● Klucz publiczny – wraz z kluczem prywatnym pozwalają ustalić symetryczny klucz sesji ● Podpis CA – klucz publiczny został zatwierdzony ● CA – lista zaufanych wbudowana w przeglądarki

Ataki ● Obniżenie jakości szyfrowania ● Wyłączenie szyfrowania ● Phishing ● Błędy implementacyjne – np. MSIE ● Inne?

Demonstracja

Skąd się biorą certyfikaty? ● Weryfikacja – dowód tożsamości – dokumenty firmy –... – prawa do domeny (whois) ● Tanie/darmowe certyfikaty – tylko prawa do domeny (whois) ● Jak odróżnić tani/darmowy certyfikat? ● Jak zweryfikować prawo do domeny wewnętrznej?

IPSCA

● “Please make sure that the COMMON NAME (CN) in your CSR is the Fully-Qualified Domain Name (example: ) of your OWN Server,.If it is an intranet server, use the network name of your server.” ● Niezweryfikowane certyfikaty nie są nic warte ● Cały system SSL jest tak silny jak najsłabsze ogniwo ● Certyfikat noc.my.flat

Zabezpieczenia ● Wewnętrzne domeny – lepiej: wewnetrzna.zewnetrzna.pl – uwaga na HOWTO ● Zmiana certyfikatu podczas sesji – ostrzeżenie – instalacja nowego certyfikatu ● Usunięcie IPSCA z listy CA w przeglądarce ● Zagrożenie: niskie

Dziękuję za uwagę. Paweł Pokrywka, Ispara.pl