TiTD Wykład 12 VoIP SSL i Kerberos.

Slides:



Advertisements
Podobne prezentacje
Infrastruktura kluczy publicznych
Advertisements

Neostrada tp.
Dostęp do Internetu Frame Relay tp
Technologia VoIP.
Sieci komputerowe Usługi sieciowe Piotr Górczyński 27/09/2002.
Środki łączności przewodowej i bezprzewodowej.
Wykład 2: Metody komutacji w sieciach teleinformatycznych
Urządzenia sieciowe Topologie sieci Standardy sieci Koniec.
SSL - protokół bezpiecznych transmisji internetowych
Usługi sieciowe Wykład 5 DHCP- debian Jarosław Kurek WZIM SGGW 1.
Proxy (WWW cache) Sieci Komputerowe
SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
Artur Szmigiel Paweł Zarębski Kl. III i
Internet Usługi internetowe.
Elementy informatyki w kształceniu zintegrowanym.
Inżynieria Oprogramowania
Rozwój źródeł informacji i
USŁUGA FTP 1. Definicja FTP. FTP (File Transfer Protocol, ang. protokół transmisji plików) jest protokołem typu klient-serwer, który umożliwia przesyłanie.
Integrated Services Digital Network mgr inż. Grzegorz Śliwiński
Program Skype  Aleksandra Sikora, kl.III gim..
Podstawowe usługi internetu
Historia Internetu Podstawowe pojęcia.
Protokół Komunikacyjny
Microsoft Lync Efektywna komunikacja w Biznesie
MODEL WARSTWOWY PROTOKOŁY TCP/IP
Internet i telekomunikacja NETInstal Pszów ul. Łanowa 34 tel (Poland) tel (U.K.) opracowanie: inż. Błażej.
Interfejsy urządzeń peryferyjnych
RODZAJE TRANSMISJI PRZESYŁANIE INFORMACJI W MODELU WARSTWOWYM
Temat 1: Podstawowe pojęcia dotyczące lokalnej sieci komputerowej
Prezentacja Adrian Pyza 4i.
Wymiana informacji w sieciach komputerowych
Tematy Wstęp SPA1001 SPA3000. Wstęp Sieć EuroTELEFON sprzedaje niezbędne urządzenia VoIP poprzez sklep należący do firmy TKSoftware. Sklep nazywa się
Metody zabezpieczania transmisji w sieci Ethernet
Rozdział 4: Budowa sieci
Temat 4: Rodzaje, budowa i funkcje urządzeń sieciowych.
Sieci komputerowe.
Model OSI Model OSI (Open Systems Interconnection Reference Model) został wprowadzony w celu ujednolicenia regół komunikacji sieciowej. Obejmuje on cały.
Prezentacja Adrian Pyza 4i.
Sieci komputerowe.
Aplikacje TCP i UDP. Łukasz Zieliński
Sieci komputerowe.
Systemy operacyjne i sieci komputerowe
Dofinansowano ze środków Ministra Kultury i Dziedzictwa Narodowego Komunikacja.
Systemy operacyjne i sieci komputerowe
Model warstwowy sieci ISO/OSI
 Karta sieciowa to urządzenie odpowiedzialne za wysyłanie i odbieranie danych w sieciach LAN. Każdy komputer, który ma korzystać z dobrodziejstw sieci,
Jednym z podstawowych celów tworzenia sieci komputerowych jest współdzielenie zasobów, takich jak pliki lub drukarki. Każdy z takich zasobów musi być udostępniony,
Systemy operacyjne i sieci komputerowe
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Model OSI.
PODSTAWY SIECI KOMPUTEROWYCH - MODEL ISO/OSI. Modele warstwowe a sieci komputerowe Modele sieciowe to schematy funkcjonowania, które ułatwią zrozumienie.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
Metody komunikacji dawniej i dziś
Metody komunikacji dawniej i dziś
Systemy operacyjne i sieci komputerowe DZIAŁ : Systemy operacyjne i sieci komputerowe Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz.
Model warstwowy ISO-OSI
HISTORIA Ludzie od dawnych czasów próbowali się ze sobą porozumiewać. Nauczyli oni się komunikować ze sobą za pomocą przeróżnych środków: od wyrazu twarzy,
Co To jest usługa VoIP VoIP - technologia umożliwiająca przesyłanie głosu za pomocą łączy internetowych lub dedykowanych sieci wykorzystujących protokół.
Bartosz Pawlak Wiktor Paliwoda Bezpieczeństwo Systemów Operacyjnych IMAP vs POP.
Elementy przeglądarki internetowej Pasek menu Pasek kart Pasek adresowy Pasek wyszukiwania Okno z zawartością strony internetowej Zakładki (ulubione)
Warszawa 27 Luty 2014 Analiza implementacyjna usługi VoIP dla zastosowań korporacyjnych Wykonał: Michał Boczek Promotor: dr inż. Dariusz Chaładyniak.
Model TCP/IP Wykład 6.
Sieć komputerowa Rodzaje sieci
materiały dla uczestników
Wydział Matematyki, Informatyki i Architektury Krajobrazu
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Telefonia internetowa programy P2P
Sieci komputerowe Usługi sieciowe 27/09/2002.
Zapis prezentacji:

TiTD Wykład 12 VoIP SSL i Kerberos

VoIP (ang. Voice over IP) - telefonia internetowa W odróżnieniu od tradycyjnej telefonii (PSTN) technologia umożliwiająca przesyłanie głosu za pomocą łączy internetowych lub dedykowanych sieci wykorzystujących protokół IP

Ewolucja branży telekomunikacyjnej w 1995 r. - firma VocalTec - pierwszy program umożliwiający prowadzenie rozmów telefonicznych między dwoma komputerami podłączonymi do sieci Internet Od roku 1996 można już było też korzystać z pierwszych urządzeń umożliwiających podłączenie do Internetu zwykłego aparatu telefonicznego (tzw. bramek VoIP). kolejne oferty różnych zastosowań telefonii internetowej - w roku 2000 dialpad.com (pierwszy komunikator umożliwiający wykonywanie połączeń bez odrębnego programu, lecz w oparciu o aplet Javy umieszczony na stronie www), w 2002 Vonage (oferujący duże tańsze rozmowy w ramach stałej opłaty abonamentowej) czy popularny komunikator Skype w roku 2004.

Warstwa transportowa ramek głosu - protokół UDP Dane techniczne Warstwa transportowa ramek głosu - protokół UDP Wywołanie abonenta: Strona wywołująca wysyła informację do serwera SIP (ang. Session Initiation Protocol) zawierającą podstawowe informacje, na jego temat. Serwer SIP sprawdza w bazie danych adres danego abonenta i na jego podstawie wysyła wiadomość inicjującą wywołanie. Rejestrator SIP (tzw. registrar) jest specjalną bazą danych, która komunikuje się z węzłami SIP specjalizującymi się w zbieraniu informacji na temat użytkowników SIP.

Do zakodowania fali akustycznej w technologii VOIP wykorzystuje się kilka algorytmów - różne zapotrzebowanie na pasmo i jakość dźwięku Mean Opinion Score (MOS) – miara jakości dźwięku Nazwa Pasmo Opóźnienie (ms) MOS G.711 64kbps bardzo małe(<10) 4.5 G.726 16-40kbps małe (~10) 4.1 G.729 8kbps średnie (~30) 4.0 G.723.1 5.3kbps duże (>40) 3.8

G.711– międzynarodowy standard modulacji sygnałów mowy w kanałach o prędkości transmisji do 64 kbit/s -modulacja impulsowo-kodowa (PCM) o częstotliwości próbkowania 8 kHz (8 bitów na próbkę). Twierdzenie Shannona - w G.711 można kodować sygnały o częstotliwości do 4kHz. Podstawowa norma dla modulacji PCM w telefonii cyfrowej - często stosowana w telefonii internetowej (VoIP). Dwie odmiany kodowania: G.711U - stosuje algorytm μ-law, używany w Ameryce Północnej i Japonii G.711A stosuje algorytm A-law, używany przez resztę świata

Podczas rozmowy VoIP: zostaje stworzona cyfrowa reprezentacja głosu kompresowana i podzielona na pakiety Taki strumień pakietów jest następnie przesyłany za pomocą sieci wraz z innymi danymi. W urządzeniu odbiorczym cały proces jest odtwarzany w odwrotnym kierunku Sieć IP może być dowolną siecią z komutacją pakietów: ATM, frame relay, Internet, sieć opartą na łączach E1 (T1) - plezjochronicznych

urządzenia niezależne od komputera - bramka VoIP i telefon VoIP Niezbędne są: specjalistyczne urządzenia specjalistyczne oprogramowanie wiele firm zajmuje się produkcją tego typu sprzętu i aplikacji VoIP programowy programy stworzone z myślą o komunikacji głosowej komunikatory internetowe - funkcjonalność poszerzona o możliwość przekazywania głosu serwery służące do obsługi połączeń VoIP i centralek PBX VoIP sprzętowy urządzenia niezależne od komputera - bramka VoIP i telefon VoIP

Bramki VoIP urządzenie telekomunikacyjne - jest odpowiedzialna za połączenie telefonicznej sieci IP do innych typów sieci - zapewnia interfejs (w czasie rzeczywistym) pomiędzy różnymi formatami transmisji ze standardową siecią telefoniczną PSTN lub ISDN. Bramka VoIP posiada co najmniej 2 złącza: port FXS - standardowy port z gniazdem RJ-11, do którego podłącza się aparat telefoniczny. port WAN do podłączenia Internetu. Najczęściej jest to gniazdo RJ-45 w standardzie Ethernet z dostępem do Internetu.

Telefony internetowe - dedykowane urządzenie podłączone bezpośrednio do sieci IP Oprogramowanie pracujące na komputerze ( soft-phone )

Serwery i routery VoIP - umożliwiają tworzenie prywatnych sieci głosowych (np. w intranecie) oraz nadzorowanie przebiegu rozmów: biling kontrola pasma, kierowanie, przyjmowanie i odrzucanie zgłoszeń autoryzacja użytkowników.

Zalety w porównaniu z telefonią tradycyjną: niezależność od monopolistów państwowych - swoboda wyboru, większa prywatność bezpłatne rozmowy wewnątrz sieci operatora niższy koszt połączeń z telefonią stacjonarną (dopiero przy połączeniach zagranicznych, ew. międzystrefowych) pełna mobilność użytkownika (problem roamingu ma mniejsze znaczenie) integracja z przyszłościowymi usługami takimi jak przesyłanie danych czy obrazu

Wady w porównaniu z telefonią tradycyjną: zawodność usług (jakość) dedykowany sprzęt i oprogramowanie posiadanie łącza internetowego koszty aparatów

Protokoły i kodeki VoIP zestaw standardów umożliwiających kompresję i dekompresję dźwięku oraz komunikację między urządzeniami i przesył pakietów.

Protokół SSL Protokół SSL (ang. Secure Sockets Layer) umożliwia bezpieczny, szyfrowany przesył informacji przez Internet - znacznie utrudnione staje się ich odczytanie W procesie szyfrowania przesyłanych danych wykorzystuje się ideę klucza publicznego

Komunikacja przeglądarki z serwerem WWW wyposażonym w obsługę SSL: bezpieczna strona WWW (https:// zamiast http://) sprawdzana jest autentyczność certyfikatu serwera - jeżeli wydawca certyfikatu jest wiarygodny dla przeglądarki, certyfikat serwera jest przyjmowany następuje szyfrowanie przesyłanych danych kluczem publicznym serwera

Przebieg połączenia SSL: Klient generuje losowo klucze, które będą używane do szyfrowania (oraz podpisywania wiadomości ) Klient przesyła klucze do serwera szyfrując je jego publicznym kluczem (uzyskanym z danych zawartych w certyfikacie). Tylko serwer może te klucze poznać bo zna swój klucz prywatny. Negocjowany jest algorytm szyfrowania oraz funkcja podpisu. Możliwych jest wiele rozwiązań - np. klient może przedstawić listę „rozumianych” przez niego algorytmów szyfrujących, zaś serwer wybierze najlepszy z nich. Rozpoczyna się wymiana informacji

Chcę dostać informacje - wymyślam klucz szyfrujący Szyfruję mój klucz kluczem publicznym odbiorcy – tylko on może zdeszyfrować tę przesyłkę Wysyłam tę paczkę do odbiorcy On to deszyfruje swoim prywatnym kluczem – poznaje mój klucz i wszystko to, co do mnie wysyła szyfruje moim kluczem Ja nie mam kłopotu z odszyfrowaniem czegoś co jest zaszyfrowane moim kluczem

Czyli podsumowując: Klient przesyłając dane do serwera szyfruje publicznym kluczem serwera, poznanym z certyfikatu – serwer deszyfruje je swoim kluczem prywatnym Serwer przesyłając do klienta informacje szyfruje je kluczem klienta (jego kluczem publicznym lub jednorazowym kluczem wygenerowanym na potrzeby transmisji) – klient deszyfruje to swoim kluczem prywatnym

System Kerberos transmisja danych z udziałem "trzeciej strony" Kerberos to system uwierzytelniania i przesyłania kluczy opracowany w MIT (Massachusetts Institute of Technology) w 1978 r. z mitologii greckiej - trójgłowy pies, który strzegł bram podziemnego państwa umarłych, Hadesu Istnieje wiele komercyjnych i bezpłatnych implementacji protokołu Kerberos

Sposób wymiany informacji między klientem a serwerami w tym systemie odbywa się w trzech obszarach: między klientem a serwerem uwierzytelniającym, między klientem a serwerem przyznającym tzw. „bilety”, między klientem a serwerem aplikacji

Użytkownik okazuje bilet, który został mu przyznany przez serwer uwierzytelniający AS (ang. Authentication Server). Następnie usługa sprawdza bilet, aby zweryfikować tożsamość użytkownika Jeżeli tożsamość zostanie w pełni potwierdzona, użytkownik będzie mógł skorzystać z usługi

Dokładniejsze działanie protokołu Kerberos: Użytkownik i usługa mają klucze zarejestrowane na serwerze uwierzytelniającym (AS – authentication serwer), klucz użytkownika jest tworzony na podstawie hasła, które on sam wybiera, klucz usługi jest wybierany losowo i przechowywany w dobrze zabezpieczonym pliku Użytkownik X przesyła do serwera AS wiadomość o potrzebie uzyskania dostępu do serwera Y W odpowiedzi serwer uwierzytelniający tworzy dwie kopie nowego klucza (tzw. klucz sesji) Serwer AS umieszcza jedną kopię klucza sesji w zamykanym za pomocą klucza użytkownika „pudełku”. Serwer AS umieszcza w drugim „pudełku” drugi klucz sesji z zapisem, że dotyczy on użytkownika X. „Pudełko” to nazywane jest biletem – „zamykane” jest kluczem usługi, do której użytkownik chce uzyskać dostęp Oba „pudełka” przesyłane są użytkownikowi.

Użytkownik otwiera pierwsze „pudełko” za pomocą swojego klucza, uzyskując w ten sposób klucz sesji, a dzięki zawartej w nim informacji wie, że dotyczy on serwera Y. Informację z aktualnym czasem użytkownik umieszcza w trzecim „pudełku” (zwane autentykatorem) i zamyka kluczem sesji, Pudełka drugie i trzecie wysyła do usługi Za pomocą swojego własnego klucza usługa otwiera drugie „pudełko” (bilet) uzyskując klucz sesji z wiadomością, że dotyczy on użytkownika X Usługa za pomocą klucza sesji otwiera trzecie „pudełko” (autentykator) i uzyskuje informację o czasie zapisaną tam przez użytkownika (po to, aby uniemożliwić ewentualnemu atakującemu skopiowanie drugiego „pudełka” i użycia go podając się za użytkownika X).

Ponieważ zegary nie zawsze są idealnie zsynchronizowane, dopuszczalna jest niezgodność czasowa, zwykle do pięciu minut, pomiędzy znacznikiem czasu i czasem aktualnym. Usługa przechowuje też listę ostatnio wysłanych autentykatorów, aby uniknąć ich ponownego użycia. Często autentykator zawiera informacje dodatkowe, np. suma kontrolna, lub klucz szyfrujący dla zapewnienia prywatności przyszłej komunikacji między użytkownikiem i usługą. Gdy użytkownik chce, może zażądać od usługi potwierdzenia jej tożsamości. Wówczas pobrany znacznik czasu usługa umieszcza w kolejnym (czwartym) „pudełku” z informacją, że dotyczy on serwera Y, zamyka je kluczem sesji i przesyła użytkownikowi. Zaleta: bilety ważne przez stosunkowo krótki czas, zwykle kilka godzin. Po tym czasie nie mogą być przez nikogo wykorzystane, nawet danego użytkownika.

Klucz sesji Klucz sesji+ Informacja Auth. Server Klucz użytkownika Identyfikator użytkownika Klucz usługi Użytkownik Informacja Czas transfer Usługa identyfikator użytkownika BILET AUTENTYKATOR