Ağ Güvenliği - Taşıma Katmanı
Ağ güvenliği, verilerin bir ağ üzerinde geçiş halindeyken saldırılara karşı güvenliğinin sağlanmasını gerektirir. Bu amaca ulaşmak için birçok gerçek zamanlı güvenlik protokolü tasarlanmıştır. S / MIME, SSL / TLS, SSH ve IPsec gibi gerçek zamanlı ağ güvenliği protokolleri için popüler standartlar vardır. Daha önce belirtildiği gibi, bu protokoller farklı ağ modeli katmanlarında çalışır.
Son bölümde, uygulama katmanı güvenliği sağlamak için tasarlanmış bazı popüler protokolleri tartıştık. Bu bölümde, Taşıma Katmanında ağ güvenliğini sağlama sürecini ve ilgili güvenlik protokollerini tartışacağız.
TCP / IP protokolü tabanlı ağ için, fiziksel ve veri bağlantı katmanları tipik olarak kullanıcı terminalinde ve ağ kartı donanımında uygulanır. TCP ve IP katmanları işletim sisteminde uygulanır. TCP / IP'nin üzerindeki her şey kullanıcı işlemi olarak uygulanır.
Taşıma Katmanı Güvenliği İhtiyacı
Tipik bir İnternet tabanlı ticari işlemi tartışalım.
Bob, Alice'in mal satmak için web sitesini ziyaret eder. Bob, web sitesindeki bir forma, istenen malın türünü ve miktarını, adresini ve ödeme kartı bilgilerini girer. Bob, Gönder'i tıklar ve hesabından fiyat tutarı borçlu malların teslim edilmesini bekler. Bütün bunlar kulağa hoş geliyor, ancak ağ güvenliğinin yokluğunda Bob birkaç sürprizle karşılaşabilir.
İşlemler gizlilik (şifreleme) kullanmazsa, bir saldırgan ödeme kartı bilgilerini elde edebilir. Saldırgan, masrafları Bob'a ait olmak üzere alışveriş yapabilir.
Veri bütünlüğü ölçüsü kullanılmazsa, saldırgan, Bob'un sırasını malların türü veya miktarı açısından değiştirebilir.
Son olarak, sunucu kimlik doğrulaması kullanılmazsa, bir sunucu Alice'in ünlü logosunu görüntüleyebilir ancak site, Alice kılığına giren bir saldırgan tarafından tutulan kötü amaçlı bir site olabilir. Bob'un emrini aldıktan sonra, Bob'un parasını alıp kaçabilirdi. Veya Bob'un adını ve kredi kartı bilgilerini toplayarak bir kimlik hırsızlığı gerçekleştirebilir.
Taşıma katmanı güvenlik şemaları, TCP / IP tabanlı ağ iletişimini gizlilik, veri bütünlüğü, sunucu kimlik doğrulaması ve istemci kimlik doğrulaması ile geliştirerek bu sorunları çözebilir.
Bu katmandaki güvenlik, çoğunlukla bir ağdaki HTTP tabanlı web işlemlerinin güvenliğini sağlamak için kullanılır. Ancak, TCP üzerinden çalışan herhangi bir uygulama tarafından kullanılabilir.
TLS Tasarım Felsefesi
Taşıma Katmanı Güvenliği (TLS) protokolleri, TCP katmanının üzerinde çalışır. Bu protokollerin tasarımı, TCP katmanıyla arayüz oluşturmak için "soketler" adı verilen popüler Uygulama Programı Arabirimlerini (API) TCP'ye kullanır.
Uygulamalar artık doğrudan TCP yerine Taşıma Güvenliği Katmanı ile arayüzlenmiştir. Taşıma Güvenliği Katmanı, TCP'nin API'sine benzer ve benzer olan soketlerle basit bir API sağlar.
Yukarıdaki diyagramda, TLS teknik olarak uygulama ve taşıma katmanı arasında bulunsa da, ortak perspektiften bakıldığında, güvenlik hizmetleriyle geliştirilmiş TCP katmanı olarak işlev gören bir taşıma protokolüdür.
TLS, güvenilir katman 4 protokolü (UDP protokolünde değil) olan TCP üzerinden çalışarak TLS'nin tasarımını çok daha basit hale getirmek için tasarlanmıştır, çünkü "zaman aşımı" ve "kayıp verileri yeniden iletme" konusunda endişelenmesi gerekmez. TCP katmanı bunu her zamanki gibi yapmaya devam eder ve bu da TLS ihtiyacını karşılar.
TLS Neden Popüler?
Taşıma Katmanında güvenlik kullanmanın popüler olmasının nedeni basitliktir. Bu katmanda güvenlik tasarımı ve dağıtımı, bir işletim sisteminde uygulanan TCP / IP protokollerinde herhangi bir değişiklik gerektirmez. Yalnızca kullanıcı süreçlerinin ve uygulamalarının tasarlanması / değiştirilmesi gerekir ki bu daha az karmaşıktır.
Güvenli Yuva Katmanı (SSL)
Bu bölümde, TLS için tasarlanmış protokol ailesini tartışıyoruz. Aile, SSL sürüm 2 ve 3 ile TLS protokolünü içerir. SSLv2 artık SSLv3 ile değiştirildi, bu nedenle SSL v3 ve TLS'ye odaklanacağız.
SSL'nin Kısa Tarihi
1995 yılında Netscape, SSLv2'yi geliştirdi ve Netscape Navigator 1.1'de kullanıldı. SSL sürüm1 hiçbir zaman yayınlanmadı ve kullanılmadı. Daha sonra Microsoft, SSLv2'yi geliştirdi ve Özel İletişim Teknolojisi (PCT) adlı başka bir benzer protokolü tanıttı.
Netscape, çeşitli güvenlik konularında önemli ölçüde SSLv2'yi iyileştirdi ve 1999'da SSLv3'ü devreye aldı. Daha sonra İnternet Mühendisliği Görev Gücü (IETF), açık bir standart olarak benzer bir TLS (Taşıma Katmanı Güvenliği) protokolü tanıttı. TLS protokolü, SSLv3 ile birlikte çalışmaz.
TLS, anahtar genişletme ve kimlik doğrulama için şifreleme algoritmalarını değiştirdi. Ayrıca TLS, SSL'de kullanılan patentli RSA kripto yerine açık kripto Diffie-Hellman (DH) ve Digital Signature Standard (DSS) kullanımını önerdi. Ancak 2000 yılında RSA patentinin sona ermesi nedeniyle, kullanıcıların yaygın olarak kullanılan SSLv3'ten TLS'ye geçmeleri için güçlü nedenler yoktu.
SSL'nin Göze Çarpan Özellikleri
SSL protokolünün göze çarpan özellikleri aşağıdaki gibidir -
SSL, ağ bağlantısı güvenliğini sağlar -
Confidentiality - Bilgi, şifrelenmiş bir biçimde değiş tokuş edilir.
Authentication- İletişim varlıkları dijital sertifikalar aracılığıyla birbirlerini tanımlar. Web sunucusu kimlik doğrulaması zorunludur, ancak istemci kimlik doğrulaması isteğe bağlıdır.
Reliability - Mesaj bütünlüğü kontrollerini sürdürür.
SSL, tüm TCP uygulamaları için mevcuttur.
Hemen hemen tüm web tarayıcıları tarafından desteklenir.
Yeni çevrimiçi varlıklarla iş yapma kolaylığı sağlar.
Öncelikle Web e-ticareti için geliştirildi.
SSL Mimarisi
SSL, TCP'ye özgüdür ve UDP ile çalışmaz. SSL, uygulamalara Uygulama Programlama Arayüzü (API) sağlar. C ve Java SSL kitaplıkları / sınıfları kolaylıkla temin edilebilir.
SSL protokolü, aşağıdaki resimde gösterildiği gibi uygulama ve taşıma katmanı arasında birlikte çalışmak üzere tasarlanmıştır -
SSL, görüntüde gösterildiği gibi tek katmanlı bir protokol değildir; aslında iki alt katmandan oluşmaktadır.
Alt katman, SSL Kayıt Protokolü olarak adlandırılan bir SSL protokolü bileşeninden oluşur. Bu bileşen, bütünlük ve gizlilik hizmetleri sağlar.
Üst alt katman, SSL ile ilgili üç protokol bileşeninden ve bir uygulama protokolünden oluşur. Uygulama bileşeni, istemci / sunucu etkileşimleri arasındaki bilgi aktarım hizmetini sağlar. Teknik olarak SSL katmanı üzerinde de çalışabilir. SSL ile ilgili üç protokol bileşeni şunlardır:
- SSL El Sıkışma Protokolü
- Şifreleme Özelliği Protokolünü Değiştir
- Uyarı Protokolü.
Bu üç protokol, tüm SSL mesaj alışverişlerini yönetir ve bu bölümün ilerleyen kısımlarında ele alınacaktır.
SSL Protokol Bileşenlerinin İşlevleri
SSL protokolünün dört alt bileşeni, istemci makine ile sunucu arasında güvenli iletişim için çeşitli görevleri yerine getirir.
Kayıt Protokolü
Kayıt katmanı, üst katman protokol mesajlarını formatlar.
Verileri yönetilebilir bloklara böler (maksimum uzunluk 16 KB). Verileri isteğe bağlı olarak sıkıştırır.
Verileri şifreler.
Her mesaj için bir başlık ve sonunda bir karma (Mesaj Kimlik Doğrulama Kodu (MAC)) sağlar.
Biçimlendirilmiş blokları iletim için TCP katmanına aktarır.
SSL El Sıkışma Protokolü
SSL'nin en karmaşık kısmıdır. Herhangi bir uygulama verisi iletilmeden önce çağrılır. İstemci ve sunucu arasında SSL oturumları oluşturur.
Oturumun oluşturulması, Sunucu kimlik doğrulaması, Anahtar ve algoritma anlaşması, Anahtarların oluşturulması ve İstemci kimlik doğrulamasını (isteğe bağlı) içerir.
Bir oturum, benzersiz kriptografik güvenlik parametreleri kümesiyle tanımlanır.
Bir istemci ve bir sunucu arasındaki birden çok güvenli TCP bağlantısı aynı oturumu paylaşabilir.
Dört aşamalı el sıkışma protokolü eylemleri. Bunlar sonraki bölümde tartışılacaktır.
ChangeCipherSpec Protokolü
SSL protokolünün en basit kısmı. Müşteri ve sunucu olmak üzere iki iletişim birimi arasında değiş tokuş edilen tek bir mesajdan oluşur.
Her varlık ChangeCipherSpec mesajını gönderdikçe, bağlantının kendi tarafını üzerinde anlaşıldığı gibi güvenli duruma değiştirir.
Bekleyen durum şifreleme parametreleri mevcut duruma kopyalanır.
Bu Mesajın değiş tokuşu, gelecekteki tüm veri alışverişlerinin şifrelendiğini ve bütünlüğün korunduğunu gösterir.
SSL Uyarı Protokolü
Bu protokol, beklenmeyen mesaj, hatalı MAC kaydı, güvenlik parametreleri anlaşması başarısız vb. Gibi hataları bildirmek için kullanılır.
Aynı zamanda başka amaçlar için de kullanılır - örneğin TCP bağlantısının kapatıldığını bildirmek, bozuk veya bilinmeyen sertifika alındığını bildirmek gibi.
SSL Oturumunun Kurulması
Yukarıda tartışıldığı gibi, SSL oturumu kuruluşunun dört aşaması vardır. Bunlar esas olarak SSL El Sıkışma protokolü tarafından ele alınır.
Phase 1 - Güvenlik yeteneklerinin oluşturulması.
Bu aşama, Client_hello ve Server_hello olmak üzere iki mesaj alışverişinden oluşur .
Client_hello , azalan tercih sırasına göre istemci tarafından desteklenen kriptografik algoritmaların listesini içerir.
Server_hello , seçilen Cipher Specification (CipherSpec) ve yeni bir session_id içerir .
CipherSpec, -
Şifreleme Algoritması (DES, 3DES, RC2 ve RC4)
MAC Algoritması (MD5, SHA-1'e göre)
Açık anahtar algoritması (RSA)
Yeniden oynatma saldırısını önlemek için her iki mesajda da "nonce" bulunur.
Phase 2 - Sunucu doğrulama ve anahtar değişimi.
Sunucu sertifika gönderir. İstemci yazılımı, sertifikayı kontrol etmek için çeşitli "güvenilen" kuruluşların (CA) genel anahtarlarıyla yapılandırılmış olarak gelir.
Sunucu, seçilen şifre paketini gönderir.
Sunucu, istemci sertifikası talep edebilir. Genellikle yapılmaz.
Sunucu, Server_hello'nun sonunu gösterir .
Phase 3 - İstemci kimlik doğrulaması ve anahtar değişimi.
İstemci, yalnızca sunucu tarafından istenirse sertifika gönderir.
Ayrıca, sunucunun genel anahtarıyla şifrelenmiş Pre-Master Secret (PMS) gönderir.
İstemci ayrıca , sertifika kendisi tarafından bu sertifika ile ilişkili özel anahtara sahip olduğunu kanıtlamak için gönderilirse Certificate_verify mesajını da gönderir . Temel olarak, müşteri önceki mesajların bir karmasını imzalar.
Phase 4 - Bitir.
İstemci ve sunucu , bekleyen şifre durumunun mevcut duruma kopyalanmasına neden olmak için Change_cipher_spec mesajlarını birbirlerine gönderir .
Şu andan itibaren tüm veriler şifrelenecek ve bütünlük korunacaktır.
Her uçtan gelen "Bitti" mesajı, anahtar değişimi ve kimlik doğrulama işlemlerinin başarılı olduğunu doğrular.
Yukarıda tartışılan dört aşamanın tümü, TCP oturumunun kurulmasında gerçekleşir. SSL oturumu kurulumu TCP SYN / SYNACK'ten sonra başlar ve TCP Fin'den önce biter.
Bağlantısı Kesilen Oturumu Devam Ettirme
İstemci , şifrelenmiş session_id bilgisiyle sunucuya bir hello_request gönderirse, bağlantısı kesilmiş bir oturumu devam ettirmek mümkündür ( Uyarı mesajı yoluyla ) .
Sunucu daha sonra session_id'nin geçerli olup olmadığını belirler . Doğrulanırsa, ChangeCipherSpec'i değiştirir ve istemciyle bitmiş mesajları değiştirir ve güvenli iletişim devam eder.
Bu, oturum şifreleme parametrelerinin yeniden hesaplanmasını önler ve sunucuda ve istemci tarafında bilgi işlemden tasarruf sağlar.
SSL Oturum Anahtarları
SSL oturumu kurulumunun 3. Aşaması sırasında, istemci tarafından, sunucunun genel anahtarı kullanılarak şifrelenen sunucuya bir ana-öncesi sırrın gönderildiğini gördük. Ana gizli anahtar ve çeşitli oturum anahtarları aşağıdaki gibi oluşturulur -
Ana gizli anahtar - kullanılarak oluşturulur (sözde rasgele sayı üreteci aracılığıyla) -
Master öncesi sır.
Client_hello ve server_hello mesajlarında karşılıklı iki nonce (RA ve RB).
Daha sonra bu ana sırdan şu şekilde altı gizli değer türetilir:
MAC ile kullanılan gizli anahtar (sunucu tarafından gönderilen veriler için)
MAC ile kullanılan gizli anahtar (müşteri tarafından gönderilen veriler için)
Şifreleme için kullanılan gizli anahtar ve IV (sunucu tarafından)
Şifreleme için kullanılan gizli anahtar ve IV (istemci tarafından)
TLS Protokolü
Açık bir SSL İnternet standardı sağlamak için IETF, Ocak 1999'da Taşıma Katmanı Güvenliği (TLS) protokolünü yayınladı. TLS, RFC 5246'da önerilen bir İnternet Standardı olarak tanımlandı.
Belirgin özellikleri
TLS protokolü, SSL ile aynı hedeflere sahiptir.
İstemci / sunucu uygulamalarının kimlik doğrulaması yaparak, gizli dinlemeyi önleyerek ve mesaj değişikliğine direnerek güvenli bir şekilde iletişim kurmasını sağlar.
TLS protokolü, ağ katmanları yığınındaki güvenilir bağlantı yönelimli taşıma TCP katmanının üzerinde bulunur.
TLS protokolünün mimarisi SSLv3 protokolüne benzer. İki alt protokolü vardır: TLS Kaydı protokolü ve TLS El Sıkışma protokolü.
SSLv3 ve TLS protokolü benzer mimariye sahip olsa da, özellikle el sıkışma protokolü için mimaride ve işleyişte çeşitli değişiklikler yapıldı.
TLS ve SSL Protokollerinin Karşılaştırılması
TLS ve SSLv3 protokolleri arasında sekiz temel fark vardır. Bunlar aşağıdaki gibidir -
Protocol Version - TLS protokol segmentinin başlığı, SSL protokolü segment başlığı tarafından taşınan 3 numara arasında ayrım yapmak için sürüm numarası 3.1'i taşır.
Message Authentication- TLS, anahtarlı bir karma mesaj kimlik doğrulama kodu (H-MAC) kullanır. Bunun faydası, H-MAC'in, SSL protokolünde açıkça belirtildiği gibi, yalnızca MD5 veya SHA değil, herhangi bir karma işlevle çalışmasıdır.
Session Key Generation - Anahtar materyalin oluşturulması için TLS ve SSL protokolü arasında iki fark vardır.
Ön ana ve ana sırları hesaplama yöntemi benzerdir. Ancak TLS protokolünde, ana sır hesaplaması, ad-hoc MAC yerine HMAC standardını ve sözde rasgele işlevi (PRF) çıktısını kullanır.
Oturum anahtarlarını ve başlatma değerlerini (IV) hesaplama algoritması, TLS'de SSL protokolünden farklıdır.
Uyarı Protokol Mesajı -
TLS protokolü, Gereksiz sertifika uyarı mesajı yapılmaması dışında, SSL'nin Uyarı protokolü tarafından kullanılan tüm mesajları destekler . İstemci kimlik doğrulamasının gerekli olmaması durumunda istemci boş sertifika gönderir.
Record_overflow, decode_error gibi diğer hata durumları için TLS protokolüne birçok ek Uyarı mesajı dahil edilmiştir .
Supported Cipher Suites- SSL; RSA, Diffie-Hellman ve Fortezza şifre paketlerini destekler. TLS protokolü, Fortezza dışındaki tüm takımları destekler.
Client Certificate Types- TLS, bir certificate_request mesajında istenecek sertifika türlerini tanımlar . SSLv3 bunların hepsini destekler. Ayrıca SSL, Fortezza gibi belirli diğer sertifika türlerini destekler.
CertificateVerify ve Bitmiş Mesajlar -
SSL'de, certificate_verify mesajı için karmaşık mesaj prosedürü kullanılır . TLS ile, doğrulanan bilgiler el sıkışma mesajlarının kendisinde yer alır ve böylece bu karmaşık prosedürden kaçınılır.
Bitmiş mesaj TLS ve SSLv3'te farklı şekillerde hesaplanır.
Padding of Data- SSL protokolünde, şifrelemeden önce kullanıcı verilerine eklenen dolgu, toplam veri boyutunu şifrenin blok uzunluğunun bir katına eşit hale getirmek için gereken minimum miktardır. TLS'de dolgu, maksimum 255 bayta kadar şifrenin blok uzunluğunun bir katı olan veri boyutuyla sonuçlanan herhangi bir miktar olabilir.
TLS ve SSLv3 protokolleri arasındaki yukarıdaki farklar aşağıdaki tabloda özetlenmiştir.
Güvenli Tarama - HTTPS
Bu bölümde, güvenli web taraması gerçekleştirmek için SSL / TLS protokolünün kullanımını tartışacağız.
HTTPS Tanımlı
Köprü Metni Aktarım Protokolü (HTTP) protokolü, web taraması için kullanılır. HTTPS'nin işlevi HTTP'ye benzer. Tek fark, HTTPS'nin "güvenli" web taraması sağlamasıdır. HTTPS, SSL üzerinden HTTP anlamına gelir. Bu protokol, istemci web tarayıcısı ile web sitesi sunucusu arasında şifreli ve kimliği doğrulanmış bağlantı sağlamak için kullanılır.
HTTPS üzerinden güvenli gezinme, aşağıdaki içeriğin şifrelenmesini sağlar -
- İstenen web sayfasının URL'si.
- Sunucu tarafından kullanıcı istemcisine sağlanan web sayfası içerikleri.
- Kullanıcı tarafından doldurulan formların içeriği.
- Her iki yönde kurulan çerezler.
HTTPS'nin Çalışması
HTTPS uygulama protokolü tipik olarak iki popüler taşıma katmanı güvenlik protokolünden birini kullanır - SSL veya TLS. Güvenli gezinme süreci aşağıdaki noktalarda açıklanmaktadır.
Tarayıcı adres çubuğuna https: // ve ardından URL girerek bir web sayfasına HTTPS bağlantısı talep edersiniz.
Web tarayıcısı, web sunucusuna bir bağlantı başlatır. Https kullanımı, SSL protokolünün kullanılmasına neden olur.
Bu durumda bir uygulama, tarayıcı, 80 numaralı bağlantı noktası yerine 443 sistem bağlantı noktasını kullanır (http durumunda kullanılır).
SSL protokolü, önceki bölümlerde tartışıldığı gibi güvenli bir oturum oluşturmak için bir el sıkışma protokolünden geçer.
Web sitesi başlangıçta kendi SSL Dijital sertifikasını tarayıcınıza gönderir. Sertifikanın doğrulanması üzerine, SSL anlaşması, oturum için paylaşılan sırları değiş tokuş etmek için ilerler.
Sunucu tarafından güvenilen bir SSL Dijital Sertifikası kullanıldığında, kullanıcılar tarayıcının adres çubuğunda bir asma kilit simgesi görürler. Bir web sitesine Genişletilmiş Doğrulama Sertifikası yüklendiğinde, adres çubuğu yeşile döner.
Bu oturum, bir kez kurulduktan sonra, web sunucusu ve tarayıcı arasındaki birçok güvenli bağlantıdan oluşur.
HTTPS kullanımı
HTTPS kullanımı, kullanıcıya gizlilik, sunucu kimlik doğrulaması ve mesaj bütünlüğü sağlar. İnternette e-ticaretin güvenli bir şekilde yürütülmesini sağlar.
Verilerin gizlice dinlenmesini önler ve HTTP'ye yönelik yaygın saldırılar olan kimlik hırsızlığını reddeder.
Günümüz web tarayıcıları ve web sunucuları HTTPS desteği ile donatılmıştır. Bununla birlikte, HTTP üzerinden HTTPS kullanımı, şifreleme ve SSL anlaşması gerçekleştirmek için istemcide ve sunucu tarafında daha fazla bilgi işlem gücü gerektirir.
Güvenli Kabuk Protokolü (SSH)
SSH'nin göze çarpan özellikleri aşağıdaki gibidir -
SSH, TCP / IP katmanının üzerinde çalışan bir ağ protokolüdür. Güvenli olmayan uzaktan oturum açma olanağı sağlayan TELNET'in yerini alacak şekilde tasarlanmıştır.
SSH, güvenli bir istemci / sunucu iletişimi sağlar ve dosya aktarımı ve e-posta gibi görevler için kullanılabilir.
SSH2, önceki SSH1 sürümüne göre gelişmiş ağ iletişim güvenliği sağlayan yaygın bir protokoldür.
SSH Tanımlı
SSH, üç alt protokol olarak düzenlenmiştir.
Transport Layer Protocol- SSH protokolünün bu bölümü veri gizliliği, sunucu (ana bilgisayar) kimlik doğrulaması ve veri bütünlüğü sağlar. İsteğe bağlı olarak veri sıkıştırması da sağlayabilir.
Server Authentication- Ana bilgisayar anahtarları, genel / özel anahtarlar gibi asimetriktir. Bir sunucu, kimliğini bir istemciye kanıtlamak için genel bir anahtar kullanır. İstemci, bağlantı kurulan sunucunun, koruduğu veritabanından "bilinen" bir ana bilgisayar olduğunu doğrular. Sunucunun kimliği doğrulandıktan sonra, oturum anahtarları oluşturulur.
Session Key Establishment- Kimlik doğrulamasından sonra, sunucu ve müşteri şifrenin kullanılması konusunda anlaşır. Oturum anahtarları hem istemci hem de sunucu tarafından oluşturulur. Oturum anahtarları, kullanıcı kimlik doğrulamasından önce oluşturulur, böylece kullanıcı adları ve parolalar şifreli olarak gönderilebilir. Bu anahtarlar genellikle seans sırasında düzenli aralıklarla (örneğin her saat) değiştirilir ve kullanımdan hemen sonra yok edilir.
Data Integrity- SSH, veri bütünlüğü kontrolü için Mesaj Kimlik Doğrulama Kodu (MAC) algoritmalarını kullanır. SSH1 tarafından kullanılan 32 bit CRC'ye göre bir gelişmedir.
User Authentication Protocol- SSH'nin bu kısmı, kullanıcıyı sunucuya doğrular. Sunucu, erişimin yalnızca amaçlanan kullanıcılara verildiğini doğrular. Şu anda, yazılı parolalar, Kerberos, açık anahtar kimlik doğrulaması vb.
Connection Protocol - Bu, tek bir temel SSH bağlantısı üzerinden birden çok mantıksal kanal sağlar.
SSH Hizmetleri
SSH, birçok güvenli çözümün sağlanmasını sağlayan üç ana hizmet sağlar. Bu hizmetler kısaca şu şekilde açıklanmıştır -
Secure Command-Shell (Remote Logon)- Kullanıcının dosyaları düzenlemesine, dizinlerin içeriğini görüntülemesine ve bağlı cihazdaki uygulamalara erişmesine olanak tanır. Sistem yöneticileri, hizmetleri ve süreçleri uzaktan başlatabilir / görüntüleyebilir / durdurabilir, kullanıcı hesapları oluşturabilir ve dosya / dizin izinlerini değiştirebilir vb. Bir makinenin komut isteminde mümkün olan tüm görevler artık güvenli uzaktan oturum açma kullanılarak uzak makineden güvenli bir şekilde gerçekleştirilebilir.
Secure File Transfer- SSH Dosya Aktarım Protokolü (SFTP), güvenli dosya aktarımı için SSH-2'nin bir uzantısı olarak tasarlanmıştır. Temelde, dosya aktarımlarını işlemek için Güvenli Kabuk protokolü üzerine yerleştirilmiş ayrı bir protokoldür. SFTP, hem kullanıcı adını / şifreyi hem de aktarılan dosya verilerini şifreler. Secure Shell sunucusuyla aynı bağlantı noktasını kullanır, yani 22 numaralı sistem bağlantı noktası.
Port Forwarding (Tunneling)- Güvenli olmayan TCP / IP tabanlı uygulamalardan gelen verilerin güvenliğini sağlar. Bağlantı noktası iletme ayarlandıktan sonra, Secure Shell bir programdan (genellikle bir istemci) gelen trafiği yeniden yönlendirir ve bunu şifreli tünel üzerinden diğer taraftaki programa (genellikle bir sunucu) gönderir. Birden çok uygulama, verileri tek bir çoklanmış güvenli kanal üzerinden iletebilir ve bir güvenlik duvarı veya yönlendiricide birçok bağlantı noktası açma ihtiyacını ortadan kaldırır.
Avantajlar ve Sınırlamalar
Taşıma katmanında iletişim güvenliğini kullanmanın faydaları ve sınırlamaları aşağıdaki gibidir -
Faydaları
Taşıma Katmanı Güvenliği, uygulamalara karşı şeffaftır.
Sunucunun kimliği doğrulandı.
Uygulama katmanı başlıkları gizlidir.
Taşıma bağlantı seviyesinde çalıştığı için 3. katmandaki (IPsec) güvenlik mekanizmalarından daha ince tanelidir.
Sınırlamalar
Yalnızca TCP tabanlı uygulamalar için geçerlidir (UDP değil).
TCP / IP başlıkları net.
İstemci ve sunucu arasında doğrudan iletişim için uygundur. Sunucu zincirini kullanan güvenli uygulamaları karşılamıyor (ör. E-posta)
İstemci kimlik doğrulaması isteğe bağlı olduğundan SSL, reddedilmezlik sağlamaz.
Gerekirse, istemci kimlik doğrulamasının SSL'nin üzerinde uygulanması gerekir.
Özet
Son on yılda İnternette çok sayıda web uygulaması ortaya çıktı. Birçok e-Yönetim ve e-Ticaret portalı çevrimiçi hale geldi. Bu uygulamalar, sunucu ile istemci arasındaki oturumun, oturumların gizliliğini, kimlik doğrulamasını ve bütünlüğünü sağlayarak güvenli olmasını gerektirir.
Bir kullanıcının oturumu sırasında olası bir saldırıyı azaltmanın bir yolu, güvenli bir iletişim protokolü kullanmaktır. Bu tür iletişim protokollerinden ikisi, Güvenli Yuva Katmanı (SSL) ve Aktarım Katmanı Güvenliği (TLS) bu bölümde tartışılmaktadır. Bu protokollerin her ikisi de Taşıma katmanında çalışır.
TELNET'in yerini almak üzere tasarlanan başka bir taşıma katmanı protokolü olan Secure Shell (SSH), uzaktan oturum açma olanağı için güvenli araçlar sağlar. Secure Command Shell ve SFTP gibi çeşitli hizmetleri sunabilir.
Taşıma katmanı güvenliğinin kullanılmasının birçok faydası vardır. Ancak bu katmanda tasarlanan güvenlik protokolü yalnızca TCP ile kullanılabilir. UDP kullanılarak gerçekleştirilen iletişim için güvenlik sağlamazlar.