IP biztonság 2. rész



Hasonló dokumentumok
Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Virtuális magánházlózatok / VPN

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

VIRTUÁLIS LAN ÉS VPN

Titkosítás NetWare környezetben

Hálózati biztonság ( ) Kriptográfia ( )

8. A WAN teszthálózatának elkészítése


Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

Virtuális magánhálózat Virtual Private Network (VPN)

Vezetéknélküli technológia

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

Fábián Zoltán Hálózatok elmélet

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

IP biztonság 1. rész

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

Kriptográfiai alapfogalmak

Testnevelési Egyetem VPN beállítása és használata

VoIP biztonság. BME - TMIT Médiabiztonság feher.gabor@tmit.bme.hu

Új IP fejléc Eredeti IP fejléc IP Payload

Biztonságtechnika alapelemei Adatbiztonság az adatforrások védelméről gondoskodik Hálózatbiztonság az adatok kódolásáról és biztonságos továbbításáról

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

IBM i. Szerviz és támogatás 7.1

Adja meg, hogy ebben az esetben mely handshake üzenetek kerülnek átvitelre, és vázlatosan adja meg azok tartalmát! (8p)

Építsünk IP telefont!

Alkalmazás rétegbeli protokollok:

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei

Networkshop 2014 (április ) 1.

Részletes tantárgyprogram és követelményrendszer

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Az intézményi hálózathoz való hozzáférés szabályozása

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

Fábián Zoltán Hálózatok elmélet

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Internet Protokoll 6-os verzió. Varga Tamás

Tarantella Secure Global Desktop Enterprise Edition

Hálózati architektúrák laborgyakorlat

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

4. Hivatkozási modellek

IPv6 Elmélet és gyakorlat

Hálózati alapismeretek

Adatbiztonság PPZH május 20.

Virtuális Magánhálózatok (VPN)

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Tájékoztató. Használható segédeszköz: -

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

VoIP. VoIP biztonság

Hálózatok I. A tárgy célkitűzése

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

13. gyakorlat Deák Kristóf

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Routing update: IPv6 unicast. Jákó András BME EISzK

S, mint secure. Nagy Attila Gábor Wildom Kft.

Sapientia Egyetem, Matematika-Informatika Tanszék.

Tartalom. Router és routing. A 2. réteg és a 3. réteg működése. Forgalomirányító (router) A forgalomirányító összetevői

Riverbed Sávszélesség optimalizálás

Hálózati alapismeretek

A DNS64 és NAT64 IPv6 áttérési technikák egyes implementációinak teljesítőképesség- és stabilitás-vizsgálata. Répás Sándor

Kommunikáció. 3. előadás

5.1 Környezet Hálózati topológia

Advanced PT activity: Fejlesztési feladatok

Forgalmi grafikák és statisztika MRTG-vel

Internet ROUTER. Motiváció

Hálózati ismeretek. Az együttműködés szükségessége:

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

* Rendelje a PPP protokollt az TCP/IP rétegmodell megfelelő rétegéhez. Kapcsolati réteg

Cisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz)

Számítógép hálózatok

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

A fenti meghatározást kiegészítendõ, a könyv során az alábbiakat boncolgatjuk, amelyek mindegyike egy-egy, az SSH által biztosított megoldás:

IPv6 bevezetés a Műegyetem hálózatán. Jákó András

Számítógépes munkakörnyezet II. Szoftver

Dr. Beinschróth József Kriptográfiai alkalmazások, rejtjelezések, digitális aláírás

Nagybiztonságú, több telephelyes kommunikációs hálózatok

IT hálózat biztonság. A WiFi hálózatok biztonsága

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság

Gyors üzembe helyezési kézikönyv

Virtual Private Network (VPN)

Infokommunikációs alkalmazásfejlesztő. Informatikai alkalmazásfejlesztő

Adat és Információvédelmi Mesteriskola 30 MB. Dr. Beinschróth József SAJÁTOS LOGIKAI VÉDELEM: A KRIPTOGRÁFIA ALKALMAZÁSA

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak

III. előadás. Kovács Róbert

4. Az alkalmazások hatása a hálózat tervezésre

Hálózati architektúrák laborgyakorlat

A WiFi hálózatok technikai háttere

Sapientia Egyetem, Matematika-Informatika Tanszék.

HÁLÓZATBIZTONSÁG III. rész

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

Address Resolution Protocol (ARP)

Andrew S.Tanenbaum. Számítógéphálózatok. Második, bővített, átdolgozott kiadás. Panem

Átírás:

IP biztonság 2. rész oktatási segédanyag az IP alapú távközlés c. tárgyhoz Készült: Csehi László András IP minőség és biztonság című szakdolgozatának felhasználásával. Szerkesztette: Lencse Gábor Az anyag témaköre: Biztonsági megoldások a kommunikáció védelmére: VPN (MPLS, IPsec, OpenVPN) TLS SRTP - 1 -

Tartalomjegyzék 1. VPN-ek...- 3-1.1 MPLS VPN (MPLS Virtual Private Network)...- 3-1.2 Secure VPN megvalósításához használható protokollok...- 4-1.3 OpenVPN...- 5-1.4 IPSec (Internet Protocol Security)...- 6-2. SSL/TLS (Secure Socket Layer / Transport Layer Security)...- 7-2.1 TLS (Transport Layer Security)...- 8-3. SRTP (Secure Real-time Transport Protocol)...- 9-4. Irodalomjegyzék...- 11 - - 2 -

1. VPN-ek 1.1 MPLS VPN (MPLS Virtual Private Network) Az MPLS VPN működése kissé eltér az ismertetett MPLS működésétől, ugyanis az egyes VPN-ek magán IP címtartományokat is használhatnak. Az IANA (Internet Assigned Numbers Authority) az alábbi három blokkot különítette el magánhálózatok számára: 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.255 A címtartományok két VPN hálózat között átfedhetik egymást. Az MPLS VPN eltérő második rétegű hálózatok (ATM, PPP, Ethernet, stb.) között is képes kialakítani trusted VPN-t. Ahhoz, hogy ezt leegyszerűsítve szemléltetni tudjuk, úgy kell értelmeznünk a VPN hálózatokat, mintha azok Ethernet VLAN-ok (Virtual Local Area Network, virtuális helyi hálózat) lennének [12]. Az 1. ábrán látható VPN hálózatok közötti 1. ábra MPLS VPN kapcsolatot egyrészt azért nem szemléltettük, hogy látni lehessen a VLAN-okkal való hasonlóságot, másrészt pedig bonyolult és különböző hálózati struktúrákat nem akartuk összevegyíteni egy kis ábrába. Az Edge LSR-ek a VPN tagok (A, B, C). A Core LSR-ek nem tudnak a VPN kialakításról, csupán az első címke alapján végzik el a kapcsolást. Magától értetődik, hogy egy belső router több VPN hálózatnak is a része lehet (közös erőforrásként szolgál), amit úgy lehet elérni, hogy egy routeren belül több virtuális routert is létrehozunk, külön-külön routing táblával (VRF, Virtual Routing and Forwarding, virtuális útválasztás és továbbítás). Az Edge LSR-ekben az interfészeket egyesével rendelhetjük hozzá a VRF-hez (ugyanúgy, ahogy a VLAN-okat a switch-hez). A VPN azonosítására egy másik címke szolgál. Ez is belekerül a csomagba. Az MPLS VPN tagok között MBGP (Multiprotocol Border Gateway Protocol, többprotokollos határ átjáró protokoll) szállítja a VRF táblákat [12]. A VPN hálózatok még akkor sem látják egymást, ha - 3 -

közös erőforrást használnak. A telephelyek felől a hálózat úgy néz ki, mintha csak egy útválasztón keresztül kommunikálnának egymással. Az MPLS VPN a VPN szolgáltatás egyszerűsítése, előszeretettel használják cégek és szervezetek a távoli telephelyeik közötti kommunikációban az adatbiztonság megóvása érdekében. Különösen alkalmas különböző forgalmi típusok kezelésére (VoIP, VoD, web, FTP, stb.). Mivel az MPLS módszer viszonylag fiatal, alig tíz éves múltra tekinthet vissza, régóta üzemelő hálózatokban lehet, hogy néhány eszközt le kell cserélni ahhoz, hogy a VPN szolgáltatást igénybe lehessen venni, ugyanis nem minden router támogatja a többprotokollos címkekapcsolást. 1.2 Secure VPN megvalósításához használható protokollok A secure VPN kapcsolatok megvalósításait a következő szabványok és protokollok teszik lehetővé: PPTP (Point-to-Point Tunneling Protocol, pont-pont alagútprotokoll): a Microsoft által kifejlesztett protokoll, mely elsősorban nem több LAN hálózat, hanem ügyfelek és távoli hálózatok összekapcsolására való (pl.: a felhasználó az Interneten keresztül jelentkezik be vállalatának hálózatához 1 ) [14]. Tűzfalak között nem szokták alkalmazni. Sok Microsoft Windows disztribúció tartalmazza, de sajnos a belső fejlesztés miatt voltak biztonsági hibák, amelyek csak akkor derültek ki, amikor a külső szakemberek kezelésbe vették. A javítások sem a legkielégítőbb eredménnyel szolgáltak, de tény, hogy a legelterjedtebb szabvány. De nem a legjobb. L2TP (Layer 2 Tunneling Protocol, második rétegű alagútprotokoll): a második legelterjedtebb technológia, a Microsoft és a Cisco közös fejlesztése, mely a PPTP protokoll továbbfejlesztése. Az ügyfél és a távoli hálózatok összekapcsolásán kívül képes több hálózatot is összekötni. Második rétegbeli protokollként működik, de az ötödik rétegben tevékenykedik. Nem nyújt titkosítást és hitelesítést, ezért IPSec csomagba ágyazva közlekedtetik. Használatát a Windows 2000 és Windows XP szerverek illetve kliensek támogatják. A gyakorlati életben inkompatibilis a NAT (Network Address Translation, hálózati címfordítás) szolgáltatással, de ez nem a szoftvercégek hibája, hanem a szabványok összeférhetetlensége okozza. IPSec (Internet Protocol Security, IP biztonsági protokoll): elsősorban az útválasztók 1 A belső, tipikusan vállalati hálózatot intranetnek nevezik. - 4 -

és tűzfalak közé (és nem VPN-ekhez) tervezték, a forgalom biztosítása végett [14]. Az L2TP-vel együtt használva nagy biztonságú, többprotokollos magánhálózatokat is meg lehet vele valósítani. Virtuális magánhálózatokban csak akkor használható, ha csak IP forgalmat bonyolítanak le rajta. Előnye, hogy rugalmas, hátránya, hogy bonyolult. CIPE (Crypto IP Encapsulation): ez egy folyamatban lévő project szoftvere. Célja az IP routerek titkosításának felépítése. Támogatja a titkosított IP és UDP csomagok alagutazását (tunnelling). További részleteket és a szoftver aktualizált verzióit a projekt honlapján találhatjuk meg: http://sourceforge.net/projects/cipe-linux Az elméleti áttekintés után nézzük meg a VPN két legnépszerűbb megvalósítását, az OpenVPN-t és az IPSec-et. 1.3 OpenVPN Az OpenVPN a virtuális magánhálózatnak egy nyílt forráskódú szoftveres megvalósítása. Ingyenes, szinte minden platformra fel lehet telepíteni (Windows 2000/XP/Vista, Unix/Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, Solaris). Az Interneten elég jó dokumentációkat találhatunk, amelyekből jól látszik, hogy könnyen paraméterezhető. Ugyan vannak kisebb biztonsági problémái, de ezek megfelelő kezelésével kielégítő eredményeket lehet elérni. Fontos technikai tulajdonsága, hogy IP-IP alagutazást használ. Telepítéskor létrehozza a tunnel (TUN/TAP, alagút) eszközt, feltéve, ha a kernel (rendszermag) támogatja. A TUN/TAP eszköz (device) nem más, mint egy virtuális hálókártya, amely egy TCP vagy UDP porton keresztül képes akár egy egész alhálózatot továbbítani [16]. A hitelesítés és a titkosítás a szintén ingyenes, nyílt forráskódú OpenSSL protokoll segítségével történik. Az OpenVPN szerver az OpenSSL-lel létrehozott kulcsokkal tudja azonosítani a klienst. Megoldható, hogy a kliensek lássák egymást, de gyakorlatilag nem nagyon van rá szükség. Szükség esetén a kliensek tevékenysége a bejelentkezéstől a kijelentkezésig, teljes körűen felügyelhető, sőt, egy naplófájlban kerül eltárolásra, azaz logolva van. Az OpenVPN nemcsak a szerver, hanem a kliens oldalon is futtatható szolgáltatásként. Ez történhet kézi indítással vagy automatikusan [17]. - 5 -

1.4 IPSec (Internet Protocol Security) Az OpenVPN mellett az IPSec (Internet Protocol Security, Internet biztonsági protokoll) keretrendszer is nagy népszerűségnek örvend a VPN megvalósítások között. Olyan szabványhalmaz, amely a biztonságos IP alagutazási (tunnelling) szolgáltatásokra vonatkozik. Az IPSec az IP rétegére épül. Virtuális magánhálózati szempontból három fontos kérdést taglal [13]: 1. Hitelesítés: arra szolgál, hogy a kommunikáló felek (személy, szervezet) biztosak lehessenek abban, hogy mind a két fél az, akinek mondja magát. Virtuális magánhálózaton belüli azonosításra, pontosabban hitelesítésre szolgál az IPSec szabvány hitelesítési fejléce (AH: Authentication Header). Az AH fejlécet az IP csomaggal együtt szokták elküldeni. A hitelesítésen kívül biztosítja az üzenetintegritást és az ismétlésvédelmet is. Az üzenetintegritást úgy kell érteni, hogy az elküldött üzenet azonos a megkapott üzenettel, és az átvitel során nem módosították (külső támadás). Az ismétléssel elkövetett támadások jelentős károkat okozhatnak. A támadás egyszerűen csak egy már elküldött üzenet változtatás nélküli újraküldése a támadó részéről. Gondoljunk csak az ATM pénzjegykiadó automatáknál a pénzfelvételre vagy egy kereskedelmi árurendelésre. Az elsőnél nem mindegy, hogy ki veszi fel a pénzt, a másodiknál pedig az nem mindegy, hogy mekkora mennyiség után kell fizetni annak, akitől az árut várjuk. Ilyen és ehhez hasonló támadások kivédésére szolgál az ismétlésvédelem. 2. Titkosítás: vannak esetek, amikor az Authentication Header nem elég, mert titkosításra is szükség van. Az IPSec protokollcsalád Encapsulating Security Payload (ESP, biztonságos beágyazott üzenettartalom) összetevője gondoskodik a titkosításról. Ezt egy szimmetrikus kriptográfiai algoritmussal (DES, 3DES, Blowfish ) valósítja meg annak érdekében, hogy az adatokat egy harmadik fél ne tekinthesse meg. Ugyanazok a tulajdonságai, mint az AH-nak. Az IPSec-et két üzemmódban szokták használni: az egyik a szállítási mód (Transport Mode, két számítógép közötti forgalom titkosítása), a másik az alagút mód (Tunnel Mode, két alhálózat között épít ki virtuális alagutat), ami már virtuális magánhálózatot jelent. Az ESP-t a Tunnel módban alkalmazzák. Az eredeti IP datagram becsomagolásra kerül, és ez elé kerül egy ESP fejrész (ESP header), az elé pedig egy új IP fejrész (2. ábra). A teljes IP datagram végére is kerül egy ESP farokrész (ESP trailer). Jeff - 6 -

Crume Az internetes biztonság belülről című könyvében azt a hasonlatot használja, hogy az IPSec hitelesítési fejléce (AH) olyan, mint az ablakos boríték: látni lehet a címet, sőt, az AH esetén még az egész üzenetet is el lehet olvasni. Az Encapsulating Security Payload ezzel szemben egy közönséges zárt borítékhoz hasonlítható, amelybe belekerül az üzenet, így nem lehet látni se a tartalmát, se a végpontok címeit. 3. Kulcskezelés: a küldőnek (sender) és a fogadónak (receiver) is rendelkeznie kell előre meghatározott kulcsokkal, amelyekkel kódolhatják és dekódolhatják az üzeneteket. A kulcskezelés tevékenységi körébe tartozik a titkosító algoritmus meghatározása, a kulcscsere gyakoriságának megadása, a titkosítás részleteinek biztonságos eljuttatása a kapcsolódni kívánó felekhez és egyéb folyamatok. Ebben segít az Internet Key Exchange (IKE, Internetes kulcscsere), ami a biztonsági párbeszéd (Security Association, SA) megvalósításának kereteit határozza meg, de nem definiálja azokat. Az IPSec-nek is van egy ingyenes, nyílt forráskódú implementációja, a FreeS/WAN, de ez a projekt 2004-ben befejeződött. A FreeS/WAN projekt után mégis tovább folytatták a fejlesztéseket, és újabb lehetőség nyílt az IPSec (VPN) ingyenes megvalósítására Alagút IP fejléc (új) ESP Küldő címe / Címzett címe Adattartalom ESP 2. ábra Az ESP alagút üzemmódja OpenS/WAN project néven. Mindkét megvalósítás alkalmas a pont-pont és az ügyfélkiszolgáló (client-server) VPN összeköttetésekre. Igazából hálózatok összekapcsolására tervezték ezeket. 2. SSL/TLS (Secure Socket Layer / Transport Layer Security) Az SSL (Secure Socket Layer, biztonságos socket réteg) és a TLS (Transport Layer Security, szállítási rétegű biztonság) biztonsági protokoll a nyilvános hálózatokon történő kommunikáció védelmére (hitelesítés, titkosítás) szolgál. TCP/IP hálózatokon futó alkalmazások két pontja (pl.: szerver-kliens) közti kommunikáció biztonságosságának megteremtésére használják. Az IPSec-hez hasonlóan a Secure Socket Layer és a Transport Layer Security feladatai - 7 -

közé tartozik a hitelesítés (szerver-kliens), az adatintegritás és a titkosítás [18]. Mivel mindez a TCP réteg fölött történik, ezért az IP rész adatai védtelenek maradnak, ami azt jelenti, hogy a végpontok kiléte nyilvánvalóvá válik. 2.1 TLS (Transport Layer Security) A TLS két fontos protokollt használ: 1. TLS Record Protocol: amelynek a feladata a megbízható átvitelt biztosítása. Szimmetrikus titkosítást (DES, RC4 ) alkalmaz. Az adatokat fragmentálja (a felső rétegből érkező adatfolyamot tördeli 2 14 bájtnál kisebb darabokra), tömöríti, az integritásukat megőrzi és titkosítja [20]. 2. TLS Handshake Protocol: amelynek a feladata, hogy a felek kapcsolatot tudjanak létesíteni egymással, azonosítani tudják egymást, és a megfelelő paramétereket (session identifier, peer certificate, compression method, cipher spec, master secret, is resumable) 2 egyeztetni tudják. Erre azért van szükség, hogy az átvitt rejtjelezett adatokat kezelni lehessen a kapcsolat másik végpontján. A kapcsolat felépítésének folyamata az alábbi lépésekből áll [20]: 1. Hello üzenet cseréje, amelyben kicserélik a véletlen kezdőszámokat, a titkosító algoritmust lefixálják és az is resumable kérdésére megadják a választ. 2. Premaster secret (főkulcs előtti kulcs) létrehozása a megfelelő rejtjelezési algoritmusok kölcsönös cseréje után. 3. Az azonosításhoz szükséges tanúsítványok (certificate) és egyéb titkosítási információk elküldése egymásnak. 4. A premaster secret kulcsból és a véletlen számokból legenerálják a master secret főkulcsot. 5. A TLS Handshake Protocol elküldi a titkosítási paramétereket a TLS Record Protocol részére. 2 Session identifier: azonosító szám (szerver generálja a kliensnek). Peer certificate: végpont társ tanúsítványa. Compression method: tömörítési eljárás. Cipher spec: titkosító algoritmus. Master secret: 48 bites titkos kulcs (a szerver és a kliens ismeri). Is resumable: kapcsolat alapján engedélyezett-e új kapcsolat létrehozása. - 8 -

3. SRTP (Secure Real-time Transport Protocol) Az SRTP (Secure Real-time Transport Protocol, biztonságos valósidejű átviteli protokoll) az RTP egy olyan profilja, amely tud titkosítani, üzenetet hitelesíteni és a visszajátszás ellen is védelmet nyújt az RTP és az RTCP forgalom számára [22]. Az RTCP biztonságos megfelelője az SRTCP (Secure Real-time Transport Control Protocol). Egy kis csoport alakította ki a Cisco és az Ericsson fejlesztői gárdájából. Az adatfolyam kódolására és dekódolására az SRTP az SRTCP-vel együtt csak egyetlen egy rejtjelező szabványt használ, mégpedig az AES-t (Advanced Encryption Standard, haladószintű titkosító szabvány). Az AES két rejtjelezési módban működik: Segmented Integer Counter Mode (osztott egész szám számláló mód): egy tipikus számláló mód, ami véletlen hozzáférést biztosít bármelyik blokkhoz, amelyik fontos egy megbízhatatlan, csomagvesztésekkel járó hálózat RTP forgalomáramlásának szempontjából. f8-mode (f8 mód): a kimenet visszacsatolási mód (Output Feedback Mode) egy variációja. A titkos- és a sózott kulcs (salted key) alapértelmezett értékei ugyanazok, mint az AES számláló módjában (Counter Mode). Az SRTP biztosítani tudja az adatok integritását, a hitelesítést és a visszajátszás elleni védelmet is. Az üzenet hitelesítésére és tartalmának védelmére a HMAC-SHA1 3 algoritmust használja. Az SRTP egy külső kulcs menedzsment protokollra bízza a kezdeti mesterkulcs beállítását. Létezik két olyan protokoll, amelyeket speciálisan arra terveztek, hogy az SRTPvel használják. Az egyik a ZRTP 4 (Phil Zimmermann s Real-time Transport Protocol, Phil Zimmermann valósidejű átviteli protokollja), a másik a MIKEY (Multimedia Internet Keying, multimédia Internet kulcshasználat ). Ha az SRTP fejrészét megnézzük (3. ábra), láthatjuk, hogy az RTP fejrész egésze megtalálható benne, és tartalmaz néhány új mezőt is. A magyarázatra szoruló mezők: RTP Extension (Real-time Transport Protocol Extension): valósidejű átviteli protokoll kibővítése (tetszés szerint) Payload: hasznos teher, például audió és videó (n x 64 bit, ahol n egész szám) 3 HMAC: Keyed Hashing for Message Authentication (kulcsos titkosítás üzenethitelesítéshez): a MAC (Message Authentication Code Algorithm) üzenethitelesítő-kód algoritmus egyik megvalósítása. SHA-1: Secure Hash Algorithm (biztonságos titkosító algoritmus): 160 bites egyirányú függvény. 4 ZRTP: Phil Zimmermann (IETF) fejlesztette ki 2006-ban Jon Callas és Alan Johnston közreműködésével. A Diffie- Hellman kulcscsere algoritmus egy megvalósítását írja le. - 9 -

RTP Padding: RTP kitöltés (változó hosszúságú) RTP Pad Count: RTP kitöltés számláló (változó hosszúságú) SRTP MKI (SRTP Master Key Identifier): SRTP mesterkulcs azonosító, a kulcsmenedzsment határozza meg, jelöli ki és használja. Állítható hosszúságú (opcionális). Authentication Tag: hitelesítési sor, szintén állítható a hosszúsága. Erősen ajánlott a használata, ugyanis az üzenethitelesítés adatait hordozza. 3. ábra SRTP PDU felépítése Az Authentication Portion magyarra fordítva azt jelenti, hogy hitelesítési rész. Az RTP fejrész és a Payload mezők együttesen alkotják a hitelesítési részt. A titkosított rész (Encrypted Payload) maga a hasznos teher, ami valamilyen multimédia adat lehet (hang és/vagy videó). - 10 -

4. Irodalomjegyzék [12] Győri Gábor: MPLS-VPN-ek a gyakorlatban, LIAS-NETWORX Hálózatintegrációs Kft. https://nws.niif.hu/ncd2001/docs/eloadas/98/index.htm [13] Jeff Crume: Az internetes biztonság belülről amit a hekkerek titkolnak, Szak Kiadó 2003. [14] Peter Norton, Mike Stockman: A hálózati biztonság alapjairól, Kiskapu Kft. 2000 [15] Dr. Lencse Gábor: Hálózatok biztonsága, 2008. Győr http://www.tilb.sze.hu [16] HupWiki - OpenVPN http://wiki.hup.hu/index.php/openvpn [17] HupWiki Az OpenVPN finomhangolása http://wiki.hup.hu/index.php/az_openvpn_finomhangol%c3%a1sa [18] Informatikai és Hírközlési Minisztérium, International Business Machines Corporation Magyarországi Kft. : SSL/TLS alapú biztonságos kommunikáció, 2004. http://www.itktb.hu/resource.aspx?resourceid=docstorefile&f=725&t=stored [19] Wikipédia Https http://hu.wikipedia.org/wiki/https [20] Bilicki Vimos: Jegyzet a Fejlett Webes technológiák előadáshoz, 2002. http://www.inf.u-szeged.hu/~bilickiv/fpt_2006_1/jegyzet/webtechnologiak.pdf [21] Turányi Zoltán Richárd: Hálózati trendek, 1996. Budapest http://www.szabilinux.hu/trendek/trendek75.html [22] Wikipedia Secure Real-time Transport Protocol http://en.wikipedia.org/wiki/secure_real-time_transport_protocol - 11 -

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés