|
SSL ва TLS протоколларининг камчилиги
SSL ва TLS протоколларининг камчилиги - ўзларининг хабарларини ташишда тармоқ сатхидаги фақат битта - IP-протоколидан фойдаланишлари ва, демак, фақат IP-тармоқларда ишлай олишлари. Ундан ташқари, SSL/TLSнинг амалда қўлланиши татбиқий протоколлар учун тўла шаффоф эмас.
SSLнинг яна бир салбий томони шундай иборатки, агар мижоз ва сервер уланишни узсалар, улар уни маълумотларнинг минимал хажмини алмашиш йўли билан тиклашлари ва Session ID нинг эски параметрларидан фойдаланишлари мумкин.
Нияти бузуқ одам олдинги сессиялардан бирини обрўсизлантириб уни тиклаш муолажасини сервер билан ўтказиши мумкин. Натижада бу сессияда узатиладиган кейинги барча маълумотлар обрўсизлантирилади.
SSH протоколи
SSH (ing. Secure Shell - “xavfsiz qobiq” [1]) - bu operatsion tizimni masofadan boshqarish va TCP ulanishlarini tunnel qilish (masalan, fayllarni uzatish) imkonini beruvchi dastur darajasidagi tarmoq protokoli. Funktsionalligi bo'yicha Telnet va rlogin protokollariga o'xshash, lekin ulardan farqli o'laroq, u barcha trafikni, shu jumladan uzatilgan parollarni shifrlaydi. SSH turli xil shifrlash algoritmlarini tanlash imkonini beradi. Ko'pgina tarmoq operatsion tizimlari uchun SSH mijozlari va SSH serverlari mavjud.
SSH deyarli har qanday boshqa tarmoq protokolini xavfsiz muhitda xavfsiz uzatish imkonini beradi. Shunday qilib, buyruq qobig'i orqali kompyuterda nafaqat masofadan turib ishlash, balki audio oqim yoki videoni shifrlangan kanal orqali (masalan, veb-kameradan) uzatish mumkin [2]. SSH shuningdek, keyingi shifrlash uchun uzatilgan ma'lumotlarni siqishdan foydalanishi mumkin, bu, masalan, X Window System mijozlarini masofadan ishga tushirish uchun qulay.
Aksariyat xosting provayderlari mijozlarga o'zlarining uy katalogiga SSH kirishini haq evaziga taqdim etadilar. Bu buyruq satrida ishlash uchun ham, dasturlarni (jumladan, grafik ilovalarni ham) masofadan ishga tushirish uchun qulay bo'lishi mumkin.
SSH - bu amaliy qatlam protokoli. SSH serveri odatda 22-sonli TCP portidagi ulanishlarni tinglaydi. SSH-2 protokoli spetsifikatsiyasi RFC 4251da mavjud. SSH serverni autentifikatsiya qilish uchun RSA yoki DSA raqamli imzo algoritmlariga asoslangan tomonlarni autentifikatsiya qilish protokolidan foydalanadi, lekin parolni autentifikatsiya qilishga ham ruxsat beriladi. (Telnet-ning orqaga mos keladigan rejimi) va hatto xost IP-manzillari (rlogin-ning orqaga mos keladigan rejimi).
1. Parolni autentifikatsiya qilish eng keng tarqalgan. https kabi, har bir ulanish trafikni shifrlash uchun umumiy maxfiy kalitni yaratadi.
2. Kalit juftligi orqali autentifikatsiya qilinganda, ma'lum bir foydalanuvchi uchun ochiq va shaxsiy kalitlar juftligi oldindan yaratiladi. Siz ulanmoqchi bo'lgan mashinada shaxsiy kalit, masofaviy qurilmada esa ochiq kalit saqlanadi. Ushbu fayllar autentifikatsiya vaqtida uzatilmaydi, tizim faqat ochiq kalit egasi shaxsiy kalitga ham ega ekanligini tekshiradi. Ushbu yondashuv bilan, qoida tariqasida, OTdagi ma'lum bir foydalanuvchi nomidan avtomatik kirish sozlangan.
3. IP-manzil bo'yicha autentifikatsiya xavfsiz emas, bu xususiyat ko'pincha o'chirib qo'yilgan.
Protokolning birinchi versiyasi SSH-1 1995 yilda Xelsinki texnologiya universiteti (Finlyandiya) tadqiqotchisi Tatu Ulyonen tomonidan ishlab chiqilgan. SSH-1 rlogin, telnet va rsh protokollariga qaraganda ko'proq shaxsiy bo'lishi uchun yozilgan. 1996 yilda SSH-1 bilan mos kelmaydigan SSH-2 protokolining xavfsizroq versiyasi ishlab chiqildi. Protokol yanada mashhurlikka erishdi va 2000 yilga kelib uning ikki millionga yaqin foydalanuvchisi bor edi. Hozirgi vaqtda "SSH" atamasi odatda SSH-2 ga ishora qiladi, chunki protokolning birinchi versiyasi muhim kamchiliklar tufayli hozir deyarli ishlatilmaydi.
2006 yilda protokol IETF ishchi guruhi tomonidan Internet standarti sifatida tasdiqlangan.
SSH ning ikkita ilovasi keng tarqalgan: xususiy tijorat va bepul. Bepul dastur OpenSSH deb ataladi. 2006 yilga kelib, Internetdagi kompyuterlarning 80% OpenSSH dan foydalanar edi. Xususiy dastur Tectia[3] ning 100 ga tegishli sho'ba korxonasi bo'lgan SSH Communications Security tomonidan ishlab chiqilmoqda va notijorat maqsadlarda foydalanish uchun bepul. Ushbu ilovalar deyarli bir xil ko'rsatmalar to'plamini o'z ichiga oladi.
SSH-1 protokoli, telnet protokolidan farqli o'laroq, trafikni tinglash hujumlariga ("sniffing") chidamli, ammo o'rtadagi odam hujumlariga chidamli emas. SSH-2 protokoli o'rtada qo'shilish orqali hujumlarga ham chidamli (inglizcha seansni o'g'irlash), chunki allaqachon o'rnatilgan sessiyaga qo'shilish yoki uni ushlab turish mumkin emas.
O'rtadagi odam hujumlarining oldini olish uchun, kaliti hali mijozga ma'lum bo'lmagan xostga ulanishda, mijoz dasturi foydalanuvchiga "kalitni quyish" ni ko'rsatadi.
Do'stlaringiz bilan baham: |
