امنیت وب از کتاب14 مبتنی بر فصل Network Security, Principles and Practice,2nd Ed. حمید رضا شهریاری:ویرایش شده توسط http://www.fata.ir مركز امنبت شبكه شریف http://mehr.sharif.edu/~shahriari 1 فهرست مطالب خطرات تهدیدكننده وب روشهای مختلف تامین امنیت وب SSL TLS SET مركز امنبت شبكه شريف 2 خطرات تهدیدكننده وب با توجه به سادگی و گستردگی استفاده از مرورگرها و خدمات وب و راه اندازی سرورها ،امنیت وب از پیچیدگی باالیی برخوردار است. نمونه ای از خطرات متداول: حمله به وب سرورها تهدید اعتبار برنامه های تجاری مهم وجود كاربران عام و ناآشنا به خطرات امنیتی دسترس ی به حریم خصوص ی افراد و آزار و اذیت آنها مركز امنبت شبكه شريف 3 Threats on the Web Sharif Network Security Center 4 روشهای مختلف تامین امنیت وب استفاده از . IPSecمزایا : همه منظوره شفاف از دید كاربران الیه باالتر سربار اضافی استفاده از IPSecبا استفاده از فیلترینگ قابل حل است استفاده از SSL/TLS شفاف از دید Applicationها پشتیبانی مرورگرهایی مانند Netscapeو IEو نیز بسیاری از وب سرورها سرویسهای امنیتی وابسته به كاربرد خاص SET مركز امنبت شبكه شريف 5 Web Security Approaches 6 Sharif Network Security Center Netscape Support for SSL Sharif Network Security Center 7 - SSLتاریخچه July, 1994 شرکت Netscapeطراحی SSL 1.0را انجام داد. این نسخه هیچگاه منتشر نشد! Dec, 1994 مرورگر Netscapeهمراه با SSL 2.0به بازار عرضه شد. آسیب پذیر بود .کمتر از 1ساعت می شد به آن نفوذ کرد. محدودیت استفاده از کلیدهای 40بیتی در خارج آمریکا مركز امنبت شبكه شريف 8 – SSLتاریخچه(...ادامه) July, 1995 مایکروسافت نسخه جدیدی از IEرا به بازار عرضه کرد که از SSLپشتیبانی می کرد. پشتیبانی از مدهای کاری جدید و افزایش طول کلیدهای قابل استفاده Nov, 1995 شرکت Netscapeتوصیف SSL 3.0را منتشر کرد با تغییرات و جهش عمده نسبت به نسخه های قبلی همراه بود ضمن اینکه نسبت به نسخه Backward Compatible ،SSL v2.0 بود مركز امنبت شبكه شريف 9 – SSLتاریخچه(...ادامه) May, 1996 IETFگروه کاری TLSرا تشکیل داد و مسئولیت پاسخگویی به مشکالت قرارداد SSLرا برعهده گرفت. Jan, 1999 TLS 1.0بطور رسمی همراه با RFC 2246به بازار عرضه شد. در واقع همان SSL v3.1بود که به دالیل تجاری تغییر نام داده بود. مركز امنبت شبكه شريف 10 SSL الیه امنیتی در باالی الیه انتقال ارائه شده توسط شرکت Netscapeو نسخه 3آن نسخه استاندارد اینترنت می باشد سرویس قابل اطمینان انتها به انتها( )end to endو مبتنی بر TCP پروتكل آن در دو الیه پیاده سازی می شود مركز امنبت شبكه شريف 11 - SSLمعماری الیه اول باالی الیه انتقال و الیه دوم در الیه کاربرد الیه اول شامل پروتکل Recordو الیه دوم مربوط به سرویسهای مدیریتی بوده و شامل پروتکلهای زیر می شود مركز امنبت شبكه شريف 12 – SSLپروتكلها : SSL Record Protocol دو سرویس برای SSLفراهم می كند: محرمانگی : با استفاده از یك كلید متقارن مخفی كه در پروتكل Handshakeبه اشتراك گذاشته شده است. استفاده از یكی از الگوریتمهای ،DES ،DES-40 ،RC2-40 ،IDEA RC4-128 ،RC4-40 ،Fortezza ،3DES تمامیت پیغام تولید MACبا استفاده از کلید متقارن مخفی استفاده از SHA-1یا MD5 وظیفه تولید و توزیع کلیدهای متقارن برای انجام رمزگذاری مرسوم و نیز محاسبه MACبرعهده پروتکل handshakeاست مركز امنبت شبكه شريف 13 Netscape’s Ciphersuites 14 Sharif Network Security Center Record Protocol Operation 15 Sharif Network Security Center – SSLپروتكلها اعمال انجام شده در پروتكل Record قطعه بندی :تولید بالكهای به طول 214یا كمتر . فشرده سازی :اختیاری و بدون از دست رفتن داده. تولید : MACمشابه HMACو روی ورودی زیر انجام می گیرد: (محتوای بالك ،طول بالك ،نوع فشرده سازی ،شماره سریال) الگوریتم تولید کد احراز هویت MD5یا SHA-1می باشد. رمزنگاری :استفاده از رمز بالكی یا نهری. اضافه كردن سرآیند :به ابتدای بالك رمزشده می چسبد و شامل موارد زیر است: (نوع محتوا ،نسخه اصلی ،SSLنسخه فرعی ،SSLطول داده فشرده شده) نوع محتوا( )Content Typeبیان كننده پروتكل استفاده كننده از این سرویس در الیه باالتر می باشد مركز امنبت شبكه شريف 16 SSL Record Format 17 Sharif Network Security Center – SSLپروتكلها پروتكل :Change Cipher Spec یكی از 3پروتكل الیه دوم SSLكه از پروتكل Recordاستفاده می كنند. شامل 1بایت می باشد منجر به نوشته شدن مشخصات رمزنگاری معلق( )pendingبجای مشخصات فعلی می شود تا در اتصال جاری مورد استفاده قرار گیرد. مركز امنبت شبكه شريف 18 – SSLپروتكلها پروتكل :SSL Alert هشدارها و خطاهای مربوط به SSLرا به طرف مقابل منتقل می كند شدت خطای پیش آمده Warning or Fatal : مانند بقیه داده های SSLفشرده سازی و رمزنگاری می شود. نمونه خطاها : unexpected message, bad record mac, decompression failure, handshake failure مركز امنبت شبكه شريف 19 – SSLپروتكلها پروتكل SSL Handshake پیش از انتقال هر نوع داده ای تحت SSLانجام می شود. با استفاده از آن کارفرما و کارگزار می توانند : همدیگر را شناسایی كنند الگوریتم های رمزنگاری ،توابع درهم ساز مورد استفاده و کلیدهای رمزنگاری متقارن و نامتقارن را رد و بدل كنند. مركز امنبت شبكه شريف 20 قرارداد توافق – فاز Hello پروتكل SSL Handshake شامل 4فاز اصلی زیر می باشد مشخص كردن قابلیتهای رمزنگاری دو طرف احراز هویت کارگزار به کارفرما و مبادله كلیدهای آن احراز هویت کارفرما به کارگزار و مبادله كلیدهای آن جایگزینی پارامترهای رمزنگاری جدید به جای قبلی و خاتمه توافق مركز امنبت شبكه شريف 21 SSL Handshake Protocol 22 مركز امنبت شبكه شريف Sharif Network مركز امنبت شبكه شريف Sharif Network 23 قرارداد توافق – فاز Hello ارسال پیغام Helloتوسط کارفرما (آغازگر جلسه) پیشنهاد نسخه قرارداد :آخرین نسخه پشیبانی شده توسط کارفرما پیشنهاد الگوریتم های مناسب و روش تبادل کلید آنها پیشنهاد مکانیزم فشرده سازی مناسب انتخاب نسخه و الگوریتم های مورد قبول کارگزار کارگزار بررس ی می کند که آیا این پیشنهاد قابل قبول است یا نه؟ مركز امنبت شبكه شريف 24 قرارداد توافق – فاز تبادل کلید ارسال گواهی کارگزار برای کارفرما همراه با کلید عمومی( )RSAیا پارامترهای DH تولید و ارسال کلید سری کارفرما کلید سری را تولید کرده و برای کارگزار می فرستد یا این که هر دو با استفاده از پارامترهای DHکلید سری را محاسبه می کنند. مركز امنبت شبكه شريف 25 قرارداد توافق – فاز خاتمه فعال کردن قرارداد تغییر مشخصات رمز کارفرما قرارداد تغییر مشخصات رمز را فعال کرده و برای کارگزار می فرستد. کارگزار نیز قرارداد تغییر مشخصات رمز را فعال کرده و ارسال می کند. پایان ارسال پیغام پایانی آغاز تبادل اطالعات به صورت محرمانه و با پارامترهای جدید مركز امنبت شبكه شريف 26 Handshake Payload and Types 27 Sharif Network Security Center – SSLنتیجه گیری SSL نیازهای امنیتی زیر را فراهم می کند محرمانگی رمزنگاری متقارن تمامیت داده کد احراز هویت داده احراز هویت استاندارد x.509 امروزه مهمترین کاربرد SSLدر قرارداد HTTPSمی باشد. مركز امنبت شبكه شريف 28 Transport Layer (TLS )Security یك استاندارد از IETF به دنبال ایجاد یك نسخه استاندارد اینترنتی از SSLمی باشد بسیار شبیه SSLنسخه 3بدون در نظرگرفتن تفاوتهای جزئی زیر: بهره گیری از HMACواقعی در محاسبه (MACاستفاده از عملگر )XOR تابع تولید اعداد تصادفی همان HMACاست در TLSکد خطای no-certificateقابل قبول نیست الگوریتم Fortezzaاز الگوریتمهای توزیع كلید و رمزگذاری پیغام حذف شده مركز امنبت شبكه شريف 29 SET: Secure Electronic Transactions مركز امنبت شبكه شریف 30 SET: Secure Electronic Transactions عبارت است از مجموعه ای از پروتكلها و فرمتها كه امكان استفاده از كارتهای اعتباری عادی در شبكه های گسترده را فراهم می سازد(معرفی شده توسط )MasterCard&Visa سه سرویس زیر را فراهم می سازد: فراهم آوردن یك كانال ارتباطی امن بین افراد درگیر در یك انتقال مالی(.)transaction استفاده از گواهی های قابل اعتماد X.509v3 محافظت از حریم خصوص ی افراد :اطالعات فقط برای اشخاص ی كه به آن نیاز دارند، قابل رویت است مركز امنبت شبكه شريف 31 SET نیازمندیهای تجاری و فنی SET حفظ محرمانگی اطالعات پرداخت و سفارش خرید احراز هویت صاحب كارت اعتباری حفظ تمامیت كلیه داده های منتقل شده استفاده از بهترین ابزارهای امنیتی(پروتكلها و الگوریتمها) و نیز بهترین تكنیكهای طراحی سیستم. عدم وابستگی به وجود یا عدم وجود مكانیسمهای امنیتی الیه انتقال (مانند IPSecیا )SSL به وجود آوردن امکان عملکرد متقابل بین نرم افزارها و سرویس دهندگان شبكه :مستقل بودن SETاز بستر نرم افزاری یا سخت افزاری مركز امنبت شبكه شريف 32 SET قابلیت های كلیدی SET محرمانگی اطالعات :شماره كارت اعتباری خریدار از دید فروشنده مخفی می ماند(استفاده از )DES حفظ جامعیت داده ها :با استفاده از امضاء رقمی ،RSAكد درهم SHA-1و HMAC احراز هویت دارنده كارت :امضاء رقمی با گواهی X.509v3 احراز هویت فروشنده :امضاء رقمی با گواهی X.509v3 مركز امنبت شبكه شريف 33 SET Components 34 Sharif Network Security Center SET افراد و نهادهای درگیر عبارتند از : صاحب كارت( :)Card Holderكاربر صاحب كارت اعتباری فروشنده( :)Merchantفرد یا سازمانی كه قصد فروختن كاالی خود را از طریق اینترنت دارد. صادركننده كارت( : )Issuerموسسه مالی مانند بانك كه برای كاربران كارت صادر می كند و مسئول پرداخت كاربر در مقابل خرید او می باشد مركز امنبت شبكه شريف 35 SET افراد و نهادهای درگیر در سیستم (ادامه) موسسه حسابرس ی مالی( :)Acquirerیک موسسه مالی موظف با وظایف زیر: باز کردن حساب برای فروشنده تعیین سقف اعتبار کارتها و فعال بودن آنها واریز مبلغ دریافت شده از طریق کارت به حساب فروشنده دروازه پرداخت ( :)Payment Gatewayجهت پردازش پیامهای پرداختی و فروشنده توسط Acquirerیا فرد سوم مرجع صدور گواهی( :)CAصادركننده گواهی X509برای صاحبان کارتها ،فروشنده ها و دروازه های پرداخت مركز امنبت شبكه شريف 36 SET مراحل انتقال مالی افتتاح حساب توسط مشتری :حساب كارت اعتباری در بانكی كه SETرا پشتیبانی می كند دریافت گواهی توسط مشتری :گواهی X509كه به امضای بانك رسیده باشد. دریافت گواهی توسط فروشنده :یكی برای امضاء پیام و دیگری برای توزیع كلید ارسال سفارش خرید :از طرف مشتری برای فروشنده تایید هویت فروشنده از جانب مشتری :از روی گواهی ارسال شده مركز امنبت شبكه شريف 37 SET مراحل انتقال مالی تایید سفارش و ارسال مشخصات پرداخت :مشتری اطالعات سفارش و پرداخت خود كه شامل گواهی او نیز می شود را برای فروشنده می فرستد. اطالعات پرداخت به صورت رمزشده فرستاده می شوند و برای فروشنده قابل فهم نیستند. تقاضای اجازه پرداخت از جانب فروشنده :فروشنده اطالعات پرداخت را برای دروازه پرداخت می فرستد“ .آیا كارت اعتباری خریدار به اندازه خرید جاری موجودی دارد؟” مركز امنبت شبكه شريف 38 SET مراحل انتقال مالی تایید سفارش از جانب فروشنده :در صورتی كه پاسخ سوال فوق مثبت باشد! ارسال اجناس یا فراهم آوردن خدمات برای مشتری تقاضای پرداخت از جانب فروشنده :تقاضای انتقال مبلغ مورد نظر از حساب مشتری به حساب فروشنده از جانب دروازه پرداخت مركز امنبت شبكه شريف 39 SET امضاء دوبل()Dual Signature مكانیسمی برای اتصال پیغامهایی كه برای گیرنده های مختلف فرستاده می شوند .مثال: اطالعات سفارش( )OIكه برای فروشنده و اطالعات پرداخت ( )PIكه برای بانك فرستاده می شوند. فروشنده نباید شماره كارت اعتباری را بداند بانك نباید جزییات سفارش خرید را بداند باید بتوان ثابت كرد كه پرداخت فعلی متعلق به سفارش خرید فعلی و نه احیانا سفارشهای قبلی یا بعدی است. با استفاده از مكانیسم Dual Signatureمی توان جلوی سوءاستفاده های احتمالی فروشنده را گرفت مركز امنبت شبكه شريف 40 Construction of Dual Signature Sharif Network Security Center 41 SET قرارداد SETعموما از سه تراکنش اصلی تشکیل می شود سفارش خرید()Purchase Request اجازه پرداخت()Payment Authorization دریافت پرداخت()Payment Capture مركز امنبت شبكه شريف 42 SET درخواست خرید( :)Purchase Requestطی آن 4پیام رد و بدل می شود: درخواست اولیه از طرف خریدار به فروشنده( 1از )4 شامل نوع كارت اعتباری ،شناسه یكتا( )IDمربوط به این تقاضا و .nonce پاسخ اولیه از طرف فروشنده به خریدار( 2از )4 شامل nonceمشتری nonce ،جدید و IDمرحله قبل كه به امضای فروشنده رسیده اند ،به عالوه گواهی فروشنده و گواهی دروازه پرداخت مركز امنبت شبكه شريف 43 SET درخواست خرید(ادامه )... شامل ِِ : درخواست خرید از طرف خریدار به فروشنده( 3از ِ )4 اطالعات مربوط به سفارش كه باید به فروشنده برسد اطالعات پرداخت كه باید بدست بانك برسد(از طریق فروشنده) گواهی کلید عمومی خریدار برای امضا پاسخ خرید از طرف فروشنده به خریدار( 4از )4 گواهی خریدار اطالعات پرداخت جهت اجازه و تایید كارت به بانك ارسال می شود پاسخ خرید جهت تایید خرید بصورت امضاشده به خریدار ارسال می شود مركز امنبت شبكه شريف 44 Purchase Request – Customer Sharif Network Security Center 45 Purchase Request – Merchant Sharif Network Security Center 46 SET اجازه دروازه پرداخت()Payment Gateway Authorization این مرحله جهت اطالع فروشنده از اعتبار خریدار و این كه پرداخت حتما صورت خواهد پذیرفت ،بین فروشنده و دروازه پرداخت انجام می شود .شامل دو پیام می باشد: مركز امنبت شبكه شريف 47 SET .1 درخواست اجازه از طرف فروشنده به دروازه پرداخت: .2 شامل اطالعات خریدار( ،PIامضای دوگانه و ،)OIMDاطالعات مربوط به اجازه(شامل اطالعات IDو غیره) و گواهیهای خریدار و فروشنده پاسخ اجازه از طرف دروازه پرداخت به فروشنده شامل اطالعات مربوط به اجازه(رمزشده توسط دروازه پرداخت) اطالعات مربوط به دریافت پرداختی( )capture tokenتوسط فروشنده و گواهی امضای دروازه پرداخت. اطالعات capture tokenبرای مرحله بعد مورد نیاز است. مركز امنبت شبكه شريف 48 SET دریافت پرداخت()payment capture فروشنده پس از ارسال جنس و یا سرویس می تواند هزینه سرویس خود را از كارت اعتباری خریدار دریافت كند .این كار طی دو پیام انجام می شود: مركز امنبت شبكه شريف 49 SET .1درخواست دریافت ( )capture requestاز طرف فروشنده به دروازه پرداخت: شامل مبلغ ID ،و capture tokenكه رمز و امضاء شده اند و نیز گواهیهای امضاء و توزیع كلید فروشنده در صورت تایید ،از طریق شبكه خصوص ی درخواست به بانك ارسال شده و مبلغ از حساب خریدار به فروشنده منتقل می شود .2پاسخ دریافت ( )capture responseاز طرف دروازه پرداخت به فروشنده در صورت انتقال مبلغ پاسخ مناسب به فروشنده داده می شود مركز امنبت شبكه شريف 50 پایان ؟ 51 مركز امنبت شبكه شریف
© Copyright 2024 Paperzz