Je dnešná autentizácia bezpečná? 3. časť
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama
Reklama

Je dnešná autentizácia bezpečná? 3. časťJe dnešná autentizácia bezpečná? 3. časť

 

Je dnešná autentizácia bezpečná? 3. časť

Google       Google       7. 9. 2005       6 952×

V poslednej časti tohto článku sa budem venovať alternatívnym službám, ktoré sú napr. FTP, POP3 a iné...

Reklama
Reklama

POP, IMAP

Väčšina poštových klientov ani POP, alebo IMAP serverov šifrovanie nepodporuje. Riešením sú servery APOP a KPOP, ktoré fungujú na trochu odlišnom princípe, než klasický POP server. Princíp komunikácie spočíva v tom, že server pošle klientovi požiadavku, klient ju spracuje, ale tak, že za pomoci hesla vygeneruje odpoveď, ktorú odošle spať serveru. K prenosu hesla cez sieť teda vôbec nedochádza. Nasadenie týchto serverov je bohužiaľ veľmi malé. Ak však máte vplyv a záujem na bezpečnosť dát, nebude pre vás problém daný systém presadiť. To sme však riešili iba otázku autorizácie servera a nie samotného obsahu elektronickej pošty. Ak si chcete byť istí, že vašu poštu nikto nepovolaný čítať nebude, skúste siahnuť po kryptografickom nástroji GPG alebo PGP.

FTP

V dnešnej dobe už existuje bezpečná náhrada za FTP a tou je napríklad SCP. SCP využíva šifrovaný protokol SSH, a tým pádom je oveľa bezpečnejší než klasický FTP. Implementácia SCP ako náhrada FTP so sebou však nesie určité riziká. Ak o tom uvažujete v prostredí lokálnej siete, ktorú poznáte a ovládate, nie je to žiadny problém. Ak však uvažujete o náhrade FTP servera, ktorý je verejne prístupný, nasadenie zo sebou nesie určité riziká, hlavne v oblasti klientov, ktorých nepoznáte a nepoznáte ani ich požiadavky. Je vhodné podotknúť, že náhrada FTP serverov je vhodná tam, kde sú k dispozícii citlivé dáta, než na serveroch, ktoré neponúkajú nič zaujímavého či tajného a majú vysoký bandwidth.

HTTP

Protokol HTTP má svoju bezpečnú náhradu v protokole HTTPS. Ten využíva pre šifrovanie dát SSL a celá komunikácia je tam omnoho bezpečnejšia. Implementácia SSL je celkom jednoduchá a výrazne zlepší a skvalitní vaše webové sídlo.

„Bezpečné protokoly“

Teraz sa pozrieme na protokoly, ktoré využívajú pre prenos dát šifrovanie a ďalšie bezpečnostné metódy a môžeme ich teda v úvodzovkách označiť za bezpečné. Pôjde hlavne o SSH, SSL a Kerberos. Popíšeme si, na akom princípe fungujú, kde sa s nimi môžeme stretnúť, na čo si je potrebné pri ich používaní dávať pozor. Začneme protokolom SSH.

SSH

Secure Shell alias SSH je založený na princípe šifrovania verejným kľúčom. To znamená, že pracuje s dvojicou kľúčov – súkromným a verejným. V praxi sa najčastejšie stretneme s voľnou implementáciou SSH protokolu OpenSSH, vyvíjanou v rámci projektu OpenBSD. OpenSSH je dnes štandardom ku komunikácii medzi unixovými systémami. Nájdete ju v každej inštalácii linuxových distribúcií, v xBSD implementáciách a ďalších UNIX-like systémoch. Vo Windows, a to ani vo verzii 2000 či XP nie je žiadny šifrovací protokol štandardne implementovaný a implicitným nástrojom pre vzdialenú správu je klasický telnet, so všetkými svojimi výhodami i nevýhodami.

Inštalácia a práca s SSH je veľmi jednoduchá. Najprv musíme nainštalovať serverovú časť. Záleží na tom, ako program nainštalujete. Ak napríklad využívate Linux RedHat, ponúknu sa vám zo štandardnej inštalácie na inštalovanie súbory openssh-client, openssh-server a openssh. Ak využívate inú distribúciu, či inštalujete priamo zo zdrojového kódu, pravdepodobne si stiahnete iba jeden balíček a ten sa o všetko ostatné postará. Po nainštalovaní máte ako klient k dispozícii tieto tri nástroje: slogin, scp a ssh. Viac o jednotlivých nástrojoch sa dozviete z ich manuálových stránok.

Ďalšia vec, ktorú by mal každý užívateľ počítača urobiť, je vygenerovanie svojho privátneho a verejného kľúča. To je možné urobiť pomocou príkazu ssh-keygen. Globálny konfiguračný súbor pre klientov sa nachádza v typickom adresári /etc/ssh/ssh_config a konfiguračný súbor pre server v súbore /etc/ssh/sshd_config. Doporučujem poriadne si prečítať dokumentáciu predtým, než začnete ssh používať, a dať si pozor hlavne na zmeny kľúčov, ktoré často svedčia o niečom neštandardnom. Ak sa vám zobrazí hláška o zmene kľúča, neklikajte hneď, že ho chcete zmeniť, ale radšej si skontrolujete systém fyzicky, ak k nemu máte prístup, prípadne kontaktujte svojho systémového administrátora a na prípadnú zmenu ho upozornite.

SSL

SSL (Secure Socket Layer) je podobne ako SSH založený na kryptografii s použitím verejných kľúčov. SSL môžete rovnako dobre implementovať do webového servera Apache, rovnako i do servera IIS. Ak využívate webový server Apache z nejakej štandardnej distribúcie, bude mať pravdepodobne štandardne zabudovanú SSL priamo v kóde programu. Stačí ju potom iba aktivovať v konfiguračnom súbore httpd.conf a nechať takto zmenený konfiguračný súbor serverom načítať. Väčšina direktív je veľmi dobre okomentovaná a vysvetlená. Ak inštalujete Apache zo zdrojového kódu, budete musieť pomocou direktív pridať podporu SSL. Viac vám napovie príkaz ./configure-help. Po nainštalovaní budete musieť ešte vygenerovať certifikáty pre váš server. Tieto certifikáty musia byť podpísané certifikačnou autoritou. Ak nechcete platiť za podpis certifikátu, ktorý ste si vytvorili iba pre vlastné testovacie účely, môžete si ho podpísať sami. Počítajte ale s tým, že vás prehliadač bude pri každom otvorení informovať, že i ide certifikáciu podpísanú vami.

Rovnako ako u SSH, sa i tu sa môžete stať obeťou útoku. Aby bol útočník v napadnutí systému úspešný, bude potrebovať vašu spoluprácu. Ak sa vám niekedy zobrazí varovná hláška, že bol certifikát zmenený, okamžite vec preskúmajte a bezhlavo neklikajte na OK.

KERBEROS

Rovnako ako u SSH, sa i tu sa môžete stať obeťou útoku. Aby bol útočník v napadnutí systému úspešný, bude potrebovať vašu spoluprácu. Ak sa vám niekedy zobrazí varovná hláška, že bol certifikát zmenený, okamžite vec preskúmajte a bezhlavo neklikajte na OK.

Začiatky systému Kerberos siahajú až do roku 1983, kedy sa na MIT (Massachussets Institute of Technology) v spolupráci s firmami IBM a Digital začalo pracovať na projekte Athena, ktorého cieľom bolo zapojenie počítačov do siete a ich následné použitie pre potreby výuky. Vývojári systému narazili behom vývoja na veľa problémov, hlavne s bezpečnosťou dát a autentizáciou. V súčastnej dobe Kerberos, ktorý pracuje ako sieťový autentifikačný systém je k dispozícii v dvoch hlavných verziách a to je vo verzii 4 a 5 (presnejšie IV a V). Najprv si popíšeme na akom princípe Kerberos pracuje a potom sa pozrieme na rozdiel medzi verziami.

Autentifikácia je v systéme Kerberos založená na znalosti hesiel. Tieto heslá sú uložené na serveri Kerberos a kryptované štandardným algoritmom DES, takže môžu byť v prípade potreby dešifrované. Z toho logicky vyplýva, že server musí byť nielen fyzicky, ale i programovo dokonale zabezpečený. Na serveri by nemali bežať žiadne služby, a taktiež by mal byť umiestnený na mieste, kde k nemu nebudú mať prístup nepovolané osoby. Ako teda vyzerá následná autentizácia v prípade, že používate server Kerberos? Pre užívateľa sa absolútne nič nemení. Zobrazí sa im štandardný prihlasovací dialóg typu login: a password: Dôležité je, ako pracuje Kerberos vnútorne a čo z toho pre užívateľa vyplýva. Tu sa vyskytujú i rozdiely medzi verziami IV a V. Pozrieme sa na oba varianty.

KERBEROS IV

Po zadaní mena (login) odošle stanica serveru Kerberos správu s vašim užívateľským menom a informáciu o tom, že sa chcete prihlásiť do systému. Server, keďže pozná vaše heslo a meno, overí vaše užívateľské meno vo svojej databáze, a ak je v poriadku, odošle vám tiket, kde je zašifrované vaše heslo, ktoré taktiež pozná. Keď tento tiket dorazí do vášho systému, požiada vás systém o zadanie hesla. Ak zadáte správne heslo, dešifruje ho a prihlási vás do systém. V momente, keď vám sprístupní systém, zlikviduje informácie o vašom hesle a ďalej pracuje iba so zaslaným tiketom.

KERBEROS V

V tejto verzii servera Kerberos čaká stanice až do doby, keď zadáte svoje heslo. Až potom kontaktuje server a odošle mu správu s vašim užívateľským menom a aktuálnym časom, ktorý je šifrovaný vašim heslom. Server po obdržaní tejto správy zistí vo svojej databáze vaše meno a heslo a pokúsi sa dešifrovať časový údaj. Ak všetko prebehne v poriadku, pošle vám server tiket zašifrovaný vašim heslom. Z informácií teda v praxi vyplýva nasledujúce:

  • heslá nie sú uložené na žiadnej stanici v sieti, okrem servera Kerberos

  • heslá sa pri procese autentizácie neprenášajú po sieti, pracuje sa výhradne s tiketmi
  • Implementácia Kerbera do existujúcej sieti

    Implementácia systému Kerberos nie je jednoduchou záležitosťou. Je potrebné si rozmyslieť všetky potreby siete, myslieť i na najmenšie detaily. Nie pre každého je použitie systému Kerberos vhodným riešením. Samotná inštalácia však zložitá nie je.

    Všeobecne je možné konštatovať, že používanie autentizačných mechanizmov nie je vec jednoduchá. Ak to s bezpečnosťou myslíte vážne, musíte začať uvažovať o nahradení štandardných mechanizmov ich bezpečnejšími alternatívami. Prechod nie je nijak jednoduchý a vyžaduje mnoho zmien. Určite sa vám však vyplatí a nakoniec bude slúžiť k spokojnosti správcov i užívateľov.

    ×Odeslání článku na tvůj Kindle

    Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
    Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

    E-mailová adresa (např. novak@kindle.com):

    TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

    Hlasování bylo ukončeno    
    0 hlasů
    Google
    Autor študuje aplikovanú informatiku na FI MUNI v Brne. Zaobera sa programovanim, sietami a bezpecnostou. Pracuje ako programator na projekte www.antiskola.eu a www.drbubo.com
    Web    

    Nové články

    Reklama
    Reklama
    Obrázek ke článku NEWTON Media prohledá 200  milionů mediálních zpráv během sekund díky Cisco UCS

    NEWTON Media prohledá 200 milionů mediálních zpráv během sekund díky Cisco UCS

    Česká společnost NEWTON Media provozuje největší archiv mediálních zpráv ve střední a východní Evropě. Mezi její zákazníky patří například ministerstva, evropské instituce nebo komerční firmy z nejrůznějších oborů. NEWTON Media rozesílá svým zákazníkům každý den monitoring médií podle nastavených klíčových slov a nabízí online službu, kde lze vyhledat mediální výstupy v plném znění od roku 1996.

    Obrázek ke článku Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

    Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

    Touto roční dobou, kdy je zem pokrytá barevným listím a prsty křehnou v mrazivých ránech, se obvykle těšíme na zbrusu novou verzi RAD Studia. Letos si však ale budeme muset počkat na Godzillu a Linux až do jara. Vezměme tedy za vděk alespoň updatem 2 a jelikož dle vyjádření pánů z Embarcadero se budou nové věci objevovat průběžně, pojďme se na to tedy podívat.

    Obrázek ke článku Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

    Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

    Stále rostoucí zájem o cloudové služby i maximální důraz na pružnost, spolehlivost a bezpečnost IT vedou k výrazným inovacím v datových centrech. V infrastruktuře datových center hraje stále významnější roli software a stále častěji se lze setkat s hybridními přístupy k jejich budování i provozu.

    loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
    Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032016 Programujte.com
    Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý