Índice. Introdução. O SSL grava a vista geral. Formato de registro. Tipo de registro

Documentos relacionados
Eliminação de erros do intercâmbio de pacotes IKEv2 e do nível de protocolo

Apresentação: André Luiz Marasca

Ajustes da política do Virtual Private Network (VPN) em RV120W e em RV220W

Configurar ajustes do no roteador do RV34x Series

Geração de um certificado SSL (Secure Socket Layer) em RV120W e em RV220W

Configurar a decriptografia de SSL no módulo de FirePOWER usando ASDM (o Gerenciamento da Em-caixa)

Configurar ajustes do e personalize notificações de na ponta de prova da rede de FindIT

Configurar Virtual Private Network (VPN) avançado Setup no Firewall RV110W

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Criação do certificado ESA para o uso com assinatura S/MIME

Configurar ajustes do e personalize notificações de no WAP125 e no WAP581

Configuração do gateway ao gateway VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

As informações neste documento são baseadas nestas versões de software e hardware:

O autenticador e o Mensagem-autenticador inválidos do RAIO pesquisam defeitos o guia

Exercícios de Revisão Redes de Computadores Edgard Jamhour. TLS/SSL, VPN PPTP e IPsec

Configuração do log de sistema na série do VPN Router RV320 e RV325

Configurando perfis IPSec (auto modo fechando) no RV160 e no RV260

Estabelecer um túnel de acesso remoto (cliente ao gateway) para clientes VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

ACS 5.x: Exemplo de configuração do servidor ldap

Criação do certificado ESA para o uso com assinatura S/MIME

Configuração alerta do no Access point WAP121 e WAP321 de Cisco

Configurando o assistente de instalação VPN no RV160 e no RV260

Q.A para os CERTIFICADOS do TELEFONE CUCM (LSC/MIC)

Formação em Segurança Cibernética. Sessão 8 Criptografia II

Engloba os criptossistemas clássicos. Outros nomes: (Criptografia...)

Configurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series

Sinal unificado da empresa do centro de contato único (UCCE) nos Certificados (SSO) e na configuração

ACS 5.X: Fixe o exemplo de configuração do servidor ldap

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Análise de descarga de QuickVPN TCP

Virtual Private Network (VPN)

Exemplo de configuração de SAML SSO da versão de gerenciador 10.5 das comunicações unificadas

Detecção e remediação portais prisioneiras de AnyConnect

Configurar o evento que entra um ponto de acesso Wireless

Auxilio a Resolução da Lista de Exercícios

Fixe o RTP entre CUCM e VCS ou exemplo de configuração de Expressway

Controle Certificados no roteador do RV34x Series

Configurar receptores da notificação de SNMP em um interruptor com o CLI

Os ajustes remotos do dial-in user service da autorização (RAIO) em séries ESW2 350G controlaram o Switches

A vista entra um Series Router rv

Ajustes da política do Internet Key Exchange (IKE) no Roteadores RV180 e RV180W VPN

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

CS - Como instalar Certificados da terceira SSL para o acesso de GUI

Criptografia da próxima geração CUCM Criptografia elíptico da curva

Configuração do Wide Area Network (WAN) em RV215W

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Configuração do objeto da autenticação LDAP no sistema de FireSIGHT

Configurar IP SLA que segue para as rotas estáticas IPv4 em um interruptor SG550XG

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Fluxo de Eventos para Mensagens de Entrada e Saída AMIS

Use o cliente VPN macio do musaranho para conectar com o server do IPSec VPN em RV130 e em RV130W

Configurando o VPN de Site-para-Site no RV160 e no RV260

Configurar a autenticação TACACS da prima 3.1 contra ISE 2.x

Transferência de arquivo ASA com exemplo de configuração FXP

Altere os métodos e as cifras usados com o SSL/TLS no ESA

Capítulo 8. Segurança de redes

Este documento demonstra como configurar o Cisco VPN Client 3.x para obter um certificado digital.

Substitua o certificado auto-assinado do padrão com um certificado da 3ª parte SSL no roteador do RV34x Series

Compreenda a solução do iwag para dados do móbil 3G

Configuração dos usuários do Simple Network Management Protocol (SNMP) no Switches ESW2-350G

Configurar o único cliente ao Virtual Private Network (VPN) do gateway na série do VPN Router RV320 e RV325

Configuração do acesso remoto VPN de AnyConnect em FTD

Redes de Computadores

Configurar um cliente VPN do Teleworker no roteador do RV34x Series

Series Router de Cisco rv (RV320) Adaptadores dos Serviços integrados do Cisco 500 Series (ISA570)

IPS 6.X e mais tarde: Notificações de usando o exemplo de configuração IME

Aplicações e comportamento da fragmentação EAP

Melhores prática para a política centralizada, quarentena do vírus e da manifestação Setup e migração do ESA ao S A

Auditoria e Segurança de Sistemas -VPN (Virtual Private Network)

e-financeira Manual para Compactação e Criptografia de dados

Informática. Segurança da Informação

Exemplo de configuração de SAML SSO da versão 10.5 da conexão de unidade

ATENÇÃO O TCP/IP não é um protocolo. TCP/IP é um conjunto de diversos protocolos em 04 camadas próprias que se relaciona com o modelo OSI.

Secure ACS para Windows v3.2 com autenticação da máquina do EAP-TLS

Laboratório - Uso do Wireshark para examinar uma captura UDP DNS

Recuperação de uma senha de conta SQLSvc

Como pesquisar defeitos de o erro nenhuma resposta HTTPS em TMS após a elevação dos valores-limite TC/CE

Configurar servidores de raio externos no ISE

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Configuração do bridge de grupo de trabalho nos Access point WAP551 e WAP561

Camada de Transporte. Protocolos TCP e UDP

Exemplo de configuração CA-assinado da terceira da geração e da importação CUCM LSC

Processo de verificação TLS para a Segurança do de Cisco

Workaround para o certificado de roteador transferindo arquivos pela rede do RV32x Series

Manual de configuração EAP-FAST da versão 1.02

Retornos Mensagem de Erro para fora cronometrado do Cisco Agent Desktop

Configurar um server do Point-to-Point Tunneling Protocol (PPTP) no roteador do Rv34x Series

PROTOCOLOS DE COMUNICAÇÃO

Criptografia Aplicada LESI / LMCC

Pesquise defeitos falhas da atualização da alimentação da inteligência de Segurança no centro de gerenciamento de FireSIGHT

Índice. Introdução. Informações de Apoio

Transcrição:

Índice Introdução O SSL grava a vista geral Formato de registro Tipo de registro Grave a versão Comprimento de registro Tipos de registros Registros do aperto de mão Mude registros especs. da cifra Alerte registros Registro de dados do aplicativo Transação da amostra O intercâmbio de hello Troca do cliente Mudança da cifra Informações Relacionadas Introdução Este documento descreve os conceitos básicos do protocolo do secure sockets layer (SSL) e fornece uma transação e uma captura de pacote de informação da amostra. O SSL grava a vista geral A unidade básica de dados no SSL é um registro. Cada registro consiste em um encabeçamento de registro do cinco bytes, seguido por dados. Formato de registro Digite: uint8 - valores alistados abaixo Versão: uint16 Comprimento: uint16 Tipo Versão Duração T VH VL LH LL Tipo de registro Há quatro tipos de registro no SSL:

Aperto de mão (22, 0x16) Mude especs. da cifra (20, 0x14) Alerte (21, 0x15) Dados do aplicativo (23, 0x17) Grave a versão A versão do registro é um valor 16-byte e é formatada na ordem de rede. Nota: Para a versão de SSL 3 (SSLv3), a versão é 0x0300. Para a versão 1 do Transport Layer Security (TLSv1), a versão é 0x0301. A ferramenta de segurança adaptável de Cisco (ASA) não apoia a versão da versão de SSL 2 (SSLv2), que usa a versão 0x0002, ou algum do TLS maior do que TLSv1. Comprimento de registro O comprimento de registro é um valor 16-byte e é formatado na ordem de rede. Na teoria, isto significa que um único registro pode ser até 65,535 (2^16-1) bytes de comprimento. O RFC2246 TLSv1 indica que o comprimento máximo é 16,383 (2^14-1) bytes. Os produtos Microsoft (Microsoft Internet explorer e Internet Information Services) são sabidos para exceder estes limites. Tipos de registros Esta seção descreve os quatro tipos de registros SSL. Registros do aperto de mão Os registros do aperto de mão contêm um grupo de mensagens que são aperto de mão usado. Estes são as mensagens e seus valores: Olá! pedido (0, 0x00) Hellos do cliente (1, 0x01) Servidores hello (2, 0x02) Certificado (11, 0x0B) Troca da chave de servidor (12, 0x0C) Pedido do certificado (13, 0x0D) Servidores hello feitos (14, 0x0E) O certificado verifica (15, 0x0F) Trocas de chave do cliente (16, 0x10) Terminado (20, 0x14) No caso simples, os registros do aperto de mão não são cifrados. Contudo, um registro do aperto de mão que contenha uma mensagem terminada é cifrado sempre, porque ocorre sempre depois que um registro especs. da cifra da mudança (CCS).

Mude registros especs. da cifra Os registros CCS são usados a fim indicar uma mudança em cifras crpytographic. Imediatamente depois que o registro CCS, todos os dados é cifrado com a cifra nova. Os registros CCS puderam ou não puderam ser cifrados; em uma conexão simples com um único aperto de mão, o registro CCS não é cifrado. Registros alertas Os registros alertas são usados a fim indicar ao par que uma circunstância ocorreu. Alguns alertas são avisos, quando outro forem fatais e fizerem com que a conexão falhe. Os alertas puderam ou não puderam ser cifrados, e puderam ocorrer durante um aperto de mão ou durante transferência de dados. Há dois tipos de alertas: Alertas do fechamento: A conexão entre o cliente e o server deve corretamente ser fechada a fim evitar qualquer tipo de ataques do truncamento. Uma mensagem do close_notify é enviada que indique ao receptor que o remetente não enviará anymore mensagens nessa conexão. Alertas do erro: Quando um erro é detectado, o partido de detecção envia uma mensagem ao outro partido. Em cima da transmissão ou do recibo de um mensagem de alerta fatal, ambos os partidos fecham imediatamente a conexão. Alguns exemplos de alertas do erro são: unexpected_message (fatal) decompression_failure handshake_failure Registro de dados do aplicativo Estes registros contêm os dados de aplicativo real. Estas mensagens são levadas pela camada do registro e fragmentadas, comprimidas, e cifradas, com base no estado da conexão atual. Transação da amostra Esta seção descreve uma transação da amostra entre o cliente e servidor.

O intercâmbio de hello Quando um cliente SSL e um server começam ao communitcate, concorda com uma versão do protocolo, algoritmos criptográficos seletos, autentica-se opcionalmente, e usa-se técnicas da criptografia de chave pública a fim gerar segredos compartilhados. Estes processos são executados no protocolo de handshake. Em resumo, o cliente envia uma mensagem dos hellos do cliente ao server, que deve responder com uma mensagem dos servidores hello ou um erro fatal ocorre e a conexão falha. Os hellos do cliente e os servidores hello são usados para estabelecer capacidades do aprimoramento de segurança entre o cliente e servidor. Hellos do cliente O hello do cliente envia estes atributos ao server: Versão do protocolo: A versão do protocolo SSL por que o cliente deseja se comunicar durante esta sessão. ID de sessão: O ID de uma sessão os desejos do cliente a usar-se para esta conexão. Nos primeiros hellos do cliente da troca, o ID de sessão está vazio (refira o screen shot da captura de pacote de informação após a nota abaixo). Série da cifra: Isto é passado do cliente ao server na mensagem dos hellos do cliente. Contém as combinações de algoritmos criptográficos apoiados pelo cliente por ordem da preferência do cliente (primeira escolha primeiramente). Cada série da cifra define um Key Exchange Algorithm e umas especs. da cifra. O server seleciona uma série da cifra ou, se nenhuma escolha aceitável é apresentada, retorna um alerta da falha do aperto de mão e fecha a conexão. Método de compactação: Inclui uma lista de algoritmos de compactação apoiados pelo cliente. Se o server não apoia nenhum método enviado pelo cliente, a conexão falha. O método de compactação pode igualmente ser nulo. Nota: O endereço IP do servidor nas captações é 10.0.0.2 e o endereço IP cliente é 10.0.0.1. Servidores hello O server envia para trás estes atributos ao cliente:

Versão do protocolo: A versão escolhida do protocolo SSL que os suportes ao cliente. ID de sessão: Esta é a identidade da sessão que corresponde a esta conexão. Se o ID de sessão enviado pelo cliente nos hellos do cliente não está vazio, o server olha no esconderijo da sessão para um fósforo. Se um fósforo é encontrado e o server é disposto estabelecer a nova conexão usando o estado de sessão especificado, o server responde com o mesmo valor que foi fornecido pelo cliente. Isto indica uma sessão recomeçada e dita que os partidos devem continuar diretamente às mensagens terminadas. Se não, este campo contém um valor diferente que identifique a sessão nova. O server pôde retornar um session_id vazio a fim indicar que a sessão não estará posta em esconderijo, e não pode consequentemente ser recomeçado. Série da cifra: Como selecionado pelo server da lista que foi enviada do cliente. Método de compactação: Como selecionado pelo server da lista que foi enviada do cliente. Pedido do certificado: O server envia ao cliente uma lista de todos os Certificados que são configurados nela, e permite que o cliente selecione que certificate a querem se usar para a autenticação. Para pedidos da ressunção da sessão de SSL: O server pode enviar olá! um pedido ao cliente também. Esta é lembrar somente o cliente que deve começar a negociação nova com um pedido dos hellos do cliente quando conveniente. O cliente ignora olá! o pedido do server se o processo do aperto de mão é já corrente. As mensagens do aperto de mão têm mais precedência sobre a transmissão dos dados do aplicativo. A negociação nova deve começar em não mais de uma ou dois vezes o tempo de transmissão de uma mensagem de dados do aplicativo do comprimento máximo. Servidores hello feitos A mensagem feita servidores hello é enviada pelo server a fim indicar a extremidade dos servidores hello e das mensagens associadas. Depois que envia esta mensagem, o server espera uma resposta do cliente. Após recepção dos servidores hello feitos a mensagem, o cliente verifica que o server forneceu um certificado válido, se for necessário, e certifica-se dos parâmetros dos servidores hello sejam aceitáveis.

Certificado de servidor, troca da chave de servidor, e pedido do certificado (opcional) Certificado de servidor: Se o server deve ser autenticado (que é geralmente o caso), o server envia seu certificado imediatamente depois da mensagem dos servidores hello. O tipo do certificado deve ser apropriado para o Key Exchange Algorithm selecionado da série da cifra, e é geralmente um certificado X.509.v3. Troca da chave de servidor: O mensagem de intercâmbio da chave de servidor está enviado pelo server se não tem nenhum certificado. Se o Diffie? Hellman que Pedido do certificado: Um server pode opcionalmente pedir um certificado do cliente, se apropriado para a série selecionada da cifra. Troca do cliente Certificado de cliente (opcional) Esta é a primeira mensagem que o cliente envia depois que recebe uma mensagem feita servidores hello. Esta mensagem é enviada somente se o server pede um certificado. Se nenhum certificado apropriado está disponível, o cliente envia um alerta do no_certificate pelo contrário. Este alerta é somente um aviso; contudo, o server pôde responder com um alerta fatal da falha do aperto de mão se a authenticação do cliente é exigida. Os Certificados do cliente DH devem combinar os parâmetros especificados server DH. Trocas de chave do cliente O índice desta mensagem depende do algoritmo da chave pública selecionado entre os hellos do cliente e as mensagens dos servidores hello. O cliente usa uma chave do premaster cifrada pelo algoritmo de Rivest-Shamir-Addleman (RSA) ou o DH para o acordo e a autenticação chaves. Quando o RSA é usado para a autenticação de servidor e as trocas de chave, um pre_master_secret 48-byte está gerado pelo cliente, cifrado sob a chave pública do server, e enviado ao server. O server usa a chave privada a fim decifrar o pre_master_secret. Ambos os partidos convertem então o pre_master_secret no master_secret. O certificado verifica (opcional)

Se o cliente envia um certificado com capacidade de assinatura, um certificado digitalmenteassinado verifica que a mensagem está enviada a fim verificar explicitamente o certificado. Mudança da cifra Mude mensagens especs. da cifra A mensagem especs. da cifra da mudança é enviada pelo cliente, e o cliente copia as especs. pendentes da cifra (o novo) nas especs. atuais da cifra (essa que foi usada previamente). O protocolo especs. da cifra da mudança existe transições de sinal em estratégias de cálculo. O protocolo consiste em uma única mensagem, que seja cifrada e comprimida sob (não as especs. atuais da cifra o pendente). A mensagem é enviada por ambos o cliente e servidor a fim notificar a parte de recebimento que os registros subsequentes estão protegidos sob as especs. da cifra e as chaves recentemente negociadas. A recepção desta mensagem faz com que o receptor copie leu durante o estado no estado atual lido. O cliente envia umas trocas de chave de seguimento do aperto de mão da mensagem especs. da cifra da mudança e o certificado verifica mensagens (eventualmente), e o server envia um depois que processa com sucesso a mensagem que de trocas de chave recebeu do cliente. Quando uma sessão precedente é recomeçada, a mensagem especs. da cifra da mudança está enviada após os mensagens Hello Messages. Nas captações, a troca do cliente, a cifra da mudança, e as mensagens terminadas são enviadas como uma única mensagem do cliente. Mensagens terminadas Uma mensagem terminada é enviada sempre imediatamente depois que uma mensagem especs. da cifra da mudança a fim verificar que as trocas de chave e os processos de autenticação eram bem sucedidos. A mensagem terminada é o primeiro pacote protegido com os algoritmos, as chaves, e os segredos recentemente negociados. Nenhum reconhecimento da mensagem terminada é exigido; os partidos podem começar a enviar dados criptografados imediatamente depois que enviam a mensagem terminada. Os receptores de mensagens Finished devem verificar que os índices estão corretos. Informações Relacionadas RFC 6101 - O 3.0 da versão do protocolo do secure sockets layer Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback