src prof. luciano brandão 5° semestre ( ufa!!!) vpn (ssl – tls)
Post on 07-Apr-2016
214 Views
Preview:
TRANSCRIPT
SRCProf. Luciano Brandão5° Semestre ( UFA!!!)
VPN (SSL – TLS)
• Avanço tecnológico.•Problemas de Segurança.•Surgimento VPN
Introdução VPN
• Tunelamento•Autenticações das extremidades.•Transporte Subjacente.
Motivações:
• Host - host• Host - gateway• Gateway-gateway
Topologias
HOST - HOST
HOST - GATEWAY
GATEWAY - GATEWAY
• PPTP ( Protocolo de Tunelamento Ponto a Ponto)• L2F ( Camada 2 de Encaminhamento )• L2TP (Protocolo de Tunelamento Camada 2 )•IPSec ( Segurança IP )•SSL ( Tomada de Camada Segura )•TSL ( Transporte Camada Segura )
Protocolos
SSL / TLS
•Desenvolvido pela Netscape V1 –Julho 94•V2 em abril 95 – Apoio e distribuição: IE, Apache, NSCA, SUN)•V3 Novembro 95 – Melhorias; Compressão, suporte a chaves de cifragem. •Após padronização do SSLv3, levou a nomenclatura para TLS v1.0
Surgimento e Versões SSL-TLS
•Montagem de FrameWorks. • Camada Atuante.
Pilha de Camadas (Layers) do TCP/IP com SSL
Camada das Aplicações (http, ftp...)* Change Cipher, Alert Protocol, Handshake Protocol* Camada SSL Record
Camada TCPCamada IP
Especificações do Protocolo
Handshake Protocol
•Autenticação Cliente Servidor•Utilização de Chaves Assimétricas e simétricas.•Ampliar Segurança ( MAC, SHA, MD5)
Descrição do Protocolo Handshake
1.O Cliente envia uma Client Hello Message ao servidor;2. O servidor responde com uma Server Hello Message;3. Servidor envia seu Certificate;4. Servidor envia Server Key Exchange Message;5. Servidor solicita Certificate do cliente;6. Servidor envia Server Hello Done Message;7. Cliente manda Certificate Message ou No Certificate Alert;8. Cliente manda Client Key Exchange Message;9. Cliente manda Change Cipher Spec Message;10. Cliente manda Finished Message;11. Servidor manda Change Cipher Spec Message;12. Servidor manda Finished Message;13. Fim de Handshake. Inicio do protocolo de aplicação.
SSL V3/TLS– Algoritmos, Chaves e Certificados
- Algoritmo troca de chaves durante o Handshake:NULL,RSA,Diffie-Hellman RSA,Diffie-Hellman
DSS,DHE_DSS, DHE_RSA,DH_anonymous, Fortezza/DMS- Algoritmos para definição de chave de encriptação:
NULL, RC2, RC4, IDEA, DES, 3DES, Fortezza- Algoritmos que implementam a função de Hash para definição do MAC:
NULL , SHA , MD5- Tipos de Certificados:
X.509 v1,X.509 v2,X.509 v3
Vantagens Um dos protocolos mais convenientes e utilizados para implementação de
transações seguras. - A implementação é relativamente simples, colocando-se o SSL no topo da
pilha TCP/Ip e substituindo as chamadas TCP pelas chamadas SSL; - Trabalha independente das aplicações utilizadas e, após o handshake
inicial, comporta-se como um canal seguro que permite que se execute todas as funções que normalmente estão disponíveis no TCP/IP.
- Existem várias implementações gratuitas e comerciais, disponíveis para Diversos S.O´s.
- A maioria dos servidores e clientes já têm suporte nativo para ele, fazendo do SSL um padrão de fato;
- O IETF (Internet Engineering Task Force) está trabalhando na sua padronização formal, denominada TLS;
- Disponibiliza todas as primitivas necessárias para conexões seguras, a saber: Autenticação, troca de chaves de sessão com o uso de criptografia assimétrica prévia, encriptação com métodos simétricos, MAC e certificação.
Desvantagem
Por ser implementado no topo do TCP/IP, o programador deve conhecer bem as características do sistema operacional e as especificações do TCP para manipular as chamadas do sistema.
Algumas diferenças entre SSL e TLS
•Padronização RFC 2246 (v1.0) RFC 4346 (v1.1)•TLS – algoritmo HMAC, SSL usa o algoritmo MAC.•TLS – Uso de Autoridade Intermediaria.•Novas Mensagens de Alerta.•Algoritmo não é aberto ao publico (IETF).•Mudança do Cabeçalho.
CONCLUSÕES E OBSERVAÇÕES
•Protocolos VPN eficaz: IPSec e SSL, demais protocolos apresentam falhas e deficiências de segurança. •O SSL-TLS e demais protocolos tem vantagens e desvantagens, a escolha tem que se basear nas necessidades e características da empresa e tipo de rede usada.•Normalmente o SSL-TLS é implementada em redes com IPv4.
FIM
DUVIDAS???
top related