Sichere Internetkommunikation Sichere Internetkommunikation Zum Starten hier klicken Inhaltsverzeichnis Sichere Internetkommunikation Sichere Internetkommunikation mit SSH Autor: Oliver Litz, Daniel Rößler E-Mail: olitz@htw-saarland.de, droessler@htw-saarland.de 1. Was versteht man unter SSH? 1.1 Wozu wird die SSH benötigt? 1.2 Leistungsmerkmale der SSH 1.2 Leistungsmerkmale der SSH 1.2 Leistungsmerkmale der SSH 2. Verschlüsselungsalgorithmen 2.1 IDEA 2.1 IDEA 2.2 DES und Triple-DES (3DES) 2.2 DES und Triple-DES (3DES) 2.3 Wieso ist IDEA, DES, 3DES und damit die SSH sicher? 2.4 Probleme bei symmetrischen Verfahren 3. Authentifizierung 3.1 Anmeldung mit Benutzerpasswort 3.2 Authentifizierung basierend auf Hostname 3.3 Authentifizierung basierend auf Public-Key-Kryptographie 3.3.1 Public-Key http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/ (1 von 3) [11.10.2001 11:02:52]
Sichere Internetkommunikation 3.3.2 Secret-Key 3.3.3 Ablauf der Authentifizierung 3.3.3 Ablauf der Authentifizierung 3.4 Vorteile von RSA 4. Das SSH-Protokoll 4.1 Transport-Schicht-Protokoll 4.2 Authentifizierungs-Protokoll 4.3 Verbindungs-Protokoll 5. Verfügbarkeit von SSH 5. Verfügbarkeit von SSH 6. Installation und Generierung der Schlüssel 6.1 Installation 6.2 Generierung der Schlüssel 6.3 Einbinden der Schlüssel 7. Ablauf der Kommunikation 7.1 Verbindungsaufnahme und Authentifizierung 7.2 Authentifizierung des Benutzers 8. Benutzung der SSH 8.1 SCP2 - Secure Copy Client 8.2 SSH2 - Secure Shell Client 8.2 SSH2 - Secure Shell Client 8.3 SSHD2 - Secure Shell Daemon 8.4 SSH-AGENT2 - Authentification Agent 8.4 SSH-AGENT2 - Authentification Agent 8.5 SSH-ADD2 - Schlüsselaufnahme für Athentication Agent http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/ (2 von 3) [11.10.2001 11:02:52]
Sichere Internetkommunikation 8.6 SFTP - Secure FTP Client 9. Praktische Beispiele 9.1 Kopieren einer Datei 9.2 Einwahl über SSH2 9.3 Einwahl mit angegebener Portnummer 9.4 Einwahl mit Umleitung des FTP-Protokolls 9.5 Einwahl mit Umleitung des POP3-Protokolls 9.5 Einwahl mit Umleitung des POP3-Protokolls 9.6 Einwahl mit Umleitung des HTTP-Protokolls 9.6 Einwahl mit Umleitung des HTTP-Protokolls 9.7 Einwahl mit Umleitung des Proxys 9.7 Einwahl mit Umleitung des Proxys 10. Wovor schützt SSH nicht? 11. Fazit Literatur http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/ (3 von 3) [11.10.2001 11:02:52]
Sichere Internetkommunikation http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img0.htm [11.10.2001 11:02:59]
Sichere Internetkommunikation mit SSH http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img1.htm [11.10.2001 11:03:00]
1. Was versteht man unter SSH? http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img2.htm [11.10.2001 11:03:01]
Literatur http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img58.htm [11.10.2001 11:03:02]
Sichere Internetkommunikation mit SSH Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik Sichere Internetkommunikation mit SSH HTW des Saarlandes Fachbereich: GIS Studiengang: Praktische Informatik Fach: Internet, Protokolle Dienste Betreuer: Wolfgang Pauly Datum: 28.01.2000 http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text1.htm [11.10.2001 11:03:03]
11. Fazit http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img57.htm [11.10.2001 11:03:04]
Literatur Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik Literatur Data Fellows Ltd. F-Secure SSH (SSH 2.0 for Windows NT and Windows 95), Gummerus Printing, Jyväskylä 1998 http://www.datafellows.com Oliver Litz, Daniel Rößler Ausarbeitung: Sichere Internetkommunikation mit SSH http://www1.htw-saarland.de/~droessler/ssh http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text58.htm [11.10.2001 11:03:05]
1.1 Wozu wird die SSH benötigt? http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img3.htm [11.10.2001 11:03:06]
1.2 Leistungsmerkmale der SSH http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img4.htm [11.10.2001 11:03:07]
1.2 Leistungsmerkmale der SSH http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img5.htm [11.10.2001 11:03:08]
1.2 Leistungsmerkmale der SSH http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img6.htm [11.10.2001 11:03:10]
2. Verschlüsselungsalgorithmen http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img7.htm [11.10.2001 11:03:11]
2.1 IDEA http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img8.htm [11.10.2001 11:03:12]
2.1 IDEA http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img9.htm [11.10.2001 11:03:13]
2.2 DES und Triple-DES (3DES) http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img10.htm [11.10.2001 11:03:14]
2.2 DES und Triple-DES (3DES) http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img11.htm [11.10.2001 11:03:15]
2.3 Wieso ist IDEA, DES, 3DES und damit die SSH sicher? http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img12.htm [11.10.2001 11:03:16]
2.4 Probleme bei symmetrischen Verfahren http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img13.htm [11.10.2001 11:03:18]
3. Authentifizierung http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img14.htm [11.10.2001 11:03:19]
3.1 Anmeldung mit Benutzerpasswort http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img15.htm [11.10.2001 11:03:20]
3.2 Authentifizierung basierend auf Hostname http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img16.htm [11.10.2001 11:03:21]
3.3 Authentifizierung basierend auf Public-Key-Kryptographie http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img17.htm [11.10.2001 11:03:22]
3.3.1 Public-Key http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img18.htm [11.10.2001 11:03:23]
3.3.2 Secret-Key http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img19.htm [11.10.2001 11:03:24]
3.3.3 Ablauf der Authentifizierung http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img20.htm [11.10.2001 11:03:25]
3.3.3 Ablauf der Authentifizierung http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img21.htm [11.10.2001 11:03:26]
3.4 Vorteile von RSA http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img22.htm [11.10.2001 11:03:28]
4. Das SSH-Protokoll http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img23.htm [11.10.2001 11:03:29]
4.1 Transport-Schicht-Protokoll http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img24.htm [11.10.2001 11:03:30]
4.2 Authentifizierungs-Protokoll http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img25.htm [11.10.2001 11:03:31]
4.3 Verbindungs-Protokoll http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img26.htm [11.10.2001 11:03:32]
5. Verfügbarkeit von SSH http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img27.htm [11.10.2001 11:03:33]
5. Verfügbarkeit von SSH http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img28.htm [11.10.2001 11:03:34]
6. Installation und Generierung der Schlüssel http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img29.htm [11.10.2001 11:03:35]
6.1 Installation http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img30.htm [11.10.2001 11:03:37]
6.2 Generierung der Schlüssel http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img31.htm [11.10.2001 11:03:38]
6.3 Einbinden der Schlüssel http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img32.htm [11.10.2001 11:03:39]
7. Ablauf der Kommunikation http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img33.htm [11.10.2001 11:03:40]
7.1 Verbindungsaufnahme und Authentifizierung http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img34.htm [11.10.2001 11:03:41]
7.2 Authentifizierung des Benutzers http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img35.htm [11.10.2001 11:03:42]
8. Benutzung der SSH http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img36.htm [11.10.2001 11:03:43]
8.1 SCP2 - Secure Copy Client http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img37.htm [11.10.2001 11:03:45]
8.2 SSH2 - Secure Shell Client http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img38.htm [11.10.2001 11:03:46]
8.2 SSH2 - Secure Shell Client http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img39.htm [11.10.2001 11:03:47]
8.3 SSHD2 - Secure Shell Daemon http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img40.htm [11.10.2001 11:03:48]
8.4 SSH-AGENT2 - Authentification Agent http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img41.htm [11.10.2001 11:03:49]
8.4 SSH-AGENT2 - Authentification Agent http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img42.htm [11.10.2001 11:03:50]
8.5 SSH-ADD2 - Schlüsselaufnahme für Athentication Agent http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img43.htm [11.10.2001 11:03:51]
8.6 SFTP - Secure FTP Client http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img44.htm [11.10.2001 11:03:52]
9. Praktische Beispiele http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img45.htm [11.10.2001 11:03:54]
9.1 Kopieren einer Datei http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img46.htm [11.10.2001 11:03:55]
9.2 Einwahl über SSH2 http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img47.htm [11.10.2001 11:03:56]
9.3 Einwahl mit angegebener Portnummer http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img48.htm [11.10.2001 11:03:57]
9.4 Einwahl mit Umleitung des FTP-Protokolls http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img49.htm [11.10.2001 11:03:58]
9.5 Einwahl mit Umleitung des POP3-Protokolls http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img50.htm [11.10.2001 11:03:59]
9.5 Einwahl mit Umleitung des POP3-Protokolls http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img51.htm [11.10.2001 11:04:00]
9.6 Einwahl mit Umleitung des HTTP-Protokolls http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img52.htm [11.10.2001 11:04:01]
9.6 Einwahl mit Umleitung des HTTP-Protokolls http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img53.htm [11.10.2001 11:04:03]
9.7 Einwahl mit Umleitung des Proxys http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img54.htm [11.10.2001 11:04:04]
9.7 Einwahl mit Umleitung des Proxys http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img55.htm [11.10.2001 11:04:05]
10. Wovor schützt SSH nicht? http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/img56.htm [11.10.2001 11:04:06]
Sichere Internetkommunikation Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik Sichere Internetkommunikation http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text0.htm [11.10.2001 11:04:06]
1. Was versteht man unter SSH? Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 1. Was versteht man unter SSH? "Die SSH (Secure Shell) ist ein Programm mit dessen Hilfe man sich über ein Netzwerk auf anderen Computern anmelden, auf entfernten Computern Befehle ausführen und Dateien zwischen Computern übertragen kann. Es bietet "starke" Authentifizierung und sichere Kommunikation über unsichere Kanäle. Es ist konzipiert als Ersatz für rlogin, rsh und rcp." [Übersetzung aus SSH-FAQ, Kapitel 1.1]. Die SSH wurde ursprünglich von Tatu Ylönen an der TU Helsinki / Finnland entwickelt. http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text2.htm [11.10.2001 11:04:07]
1.1 Wozu wird die SSH benötigt? Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 1.1 Wozu wird die SSH benötigt? Unverschlüsselte Übertragungen bei IPv4 Passwörter, Emails, Kreditkartennummern, alle Daten können bei Übertragung abgehört werden "Man in the middle attack" (Daten-Manipulation) "IP-Spoofing" (vortäuschen einer IP-Adresse) "Entführung" (Hijacking) von Verbindungen http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text3.htm [11.10.2001 11:04:07]
1.2 Leistungsmerkmale der SSH Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 1.2 Leistungsmerkmale der SSH "Starke" Verschlüsselung Keine unverschlüsselte Übertragung von Passwörtern Authentifizierung von Rechner und Benutzer http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text4.htm [11.10.2001 11:04:07]
1.2 Leistungsmerkmale der SSH Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 1.2 Leistungsmerkmale der SSH SSH-Verbindung (entnommen aus F-Secure SSH, S. 2) http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text5.htm [11.10.2001 11:04:08]
1.2 Leistungsmerkmale der SSH Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 1.2 Leistungsmerkmale der SSH Umleitung des Displays eines entfernten Rechners auf den lokalen "Tunneling" von TCP/IP-Diensten wie SMTP, POP, HTTP durch lokalen Proxy-Server Transparente Komprimierung der Daten Vollständiger Ersatz von "rlogin", "rsh" und "rcp" http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text6.htm [11.10.2001 11:04:08]
2. Verschlüsselungsalgorithmen Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 2. Verschlüsselungsalgorithmen Verschlüsselte Kommunikation aller Daten über: IDEA DES 3DES Blowfish Twofish Arcfour http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text7.htm [11.10.2001 11:04:08]
2.1 IDEA Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 2.1 IDEA Entwicklung von Xuejia Lai und James Massey 1990 PES (Proposed Encryption Standard) Schwachpunkte von PES in IPES (Improved Proposed Encryption Standard) beseitigt Ab 1992 kennt man diesen Algorithmus unter dem Namen IDEA (International Data Encryption Algorithm) http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text8.htm [11.10.2001 11:04:09]
2.1 IDEA Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 2.1 IDEA Symmetrisches Blockchiffre-Verfahren Verschlüsselung und Entschlüsselung über den gleichen 128-Bit Schlüssel Acht Runden mit anschließender Ausgabetransformation Patentiert durch Ascom Systec in den meisten Staaten Nicht-kommerzielle Nutzung frei http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text9.htm [11.10.2001 11:04:09]
2.2 DES und Triple-DES (3DES) Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 2.2 DES und Triple-DES (3DES) DES (Data Encryption Standard) wurde 1975 von IBM und dem amerikanischen Geheimdienst entwickelt Symmetrische Blockchiffre-Verfahren DES verschlüsselt über einen 56-Bit Schlüssel DES heute nicht mehr vor "Brute Force Attacks" sicher http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text10.htm [11.10.2001 11:04:09]
2.2 DES und Triple-DES (3DES) Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 2.2 DES und Triple-DES (3DES) 3DES mit 168-Bit Schlüssel 3DES verwendet drei mal den selben DESverschlüsselten Block mit drei verschiedenen Schlüsseln Die wirkliche Schlüsselstärke liegt bei etwa 112-Bit. 3DES ist langsamer als IDEA http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text11.htm [11.10.2001 11:04:10]
2.3 Wieso ist IDEA, DES, 3DES und damit die SSH sicher? Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 2.3 Wieso ist IDEA, DES, 3DES und damit die SSH sicher? Verfahren sind offengelegt Keine bekannten Sicherheitslücken "Brute-Force-Attack" benötigt bei IDEA eine Milliarde Chips, die in einer Sekunde eine Milliarde Schlüssel durchprobieren um in ca. 10 Billionen Jahren alle möglichen Schlüssel zu erhalten http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text12.htm [11.10.2001 11:04:10]
2.4 Probleme bei symmetrischen Verfahren Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 2.4 Probleme bei symmetrischen Verfahren Ver- und Entschlüsselung über den gleichen geheimen Schlüssel Austausch des geheimen Schlüssels über unsichere Kanäle Daher Einsatz von RSA oder DSA zur Schlüsselübertragung http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text13.htm [11.10.2001 11:04:10]
3. Authentifizierung Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3. Authentifizierung Feststellung der Identität eines Benutzers oder Rechners, d.h. es wird überprüft, ob ein Benutzer oder Rechner wirklich der ist, der er vorgibt zu sein Drei Arten von Authentifizierung werden von SSH unterstützt Über Option anwählbar http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text14.htm [11.10.2001 11:04:10]
3.1 Anmeldung mit Benutzerpasswort Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.1 Anmeldung mit Benutzerpasswort Benutzerpasswort wird verschlüsselt übertragen durch Sitzungsschlüssel Anmeldung möglich wenn Passwort korrekt Sicherheitsrisiko wenn "schwaches" Passwort! http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text15.htm [11.10.2001 11:04:11]
3.2 Authentifizierung basierend auf Hostname Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.2 Authentifizierung basierend auf Hostname lokaler Rechner in "/etc/hosts.equiv" auf entferntem Rechner eingetragen und Benutzername korrekt Benutzer und lokaler Rechner in ".rhosts" auf entferntem Rechner eingetragen Sicherheitsrisiko, da "IP-Spoofing" möglich http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text16.htm [11.10.2001 11:04:11]
3.3 Authentifizierung basierend auf Public-Key-Kryptographie Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.3 Authentifizierung basierend auf Public-Key-Kryptographie RSA oder DSA Authentifizierung mit RSA-Verfahren Zwei voneinander unabhängige Schlüssel Öffentlicher Schlüssel (Public-Key) Geheimer/Privater Schlüssel (Secret-Key) werden als Paar angelegt und sind unteilbar Keine zentrale Aufbewahrung der Schlüssel Hinterlegung bei sog. Schlüsselservern möglich http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text17.htm [11.10.2001 11:04:11]
3.3.1 Public-Key Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.3.1 Public-Key Dient zur Verschlüsselung Befindet sich auf Server (im Unterverzeichnis ".ssh" des HOME-Verzeichnisses) Kann von jedem kopiert werden http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text18.htm [11.10.2001 11:04:12]
3.3.2 Secret-Key Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.3.2 Secret-Key Dient zur Entschlüsselung Befindet sich nur auf lokalem Rechner (oder auf sicherem Speichermedium) Darf nur dem Benutzer bekannt sein Kann durch Passwort geschützt werden http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text19.htm [11.10.2001 11:04:12]
3.3.3 Ablauf der Authentifizierung Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.3.3 Ablauf der Authentifizierung Client sendet Anfrage an den Server, welchen öffentlichen Schlüssel er benutzen will Server überprüft, ob Benutzung des Schlüssel erlaubt ist Generierung einer 256-Bit Zufallszahl, verschlüsselt mit öffentlichem Schlüssel Senden der Zufallszahl an Client http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text20.htm [11.10.2001 11:04:13]
3.3.3 Ablauf der Authentifizierung Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.3.3 Ablauf der Authentifizierung Client entschlüsselt die Zahl mit privatem Schlüssel Berechnung einer 128-Bit MD5 Prüfsumme Prüfsumme an Server Server berechnet ebenfalls Prüfsumme und vergleicht beide auf Übereinstimmung http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text21.htm [11.10.2001 11:04:13]
3.4 Vorteile von RSA Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 3.4 Vorteile von RSA Sicherste Form der Authentifizierung Verfahren nicht auf Netzwerk, DNS-Server oder Client-Maschine angewiesen Nur der Zugriff auf den geheimen Schlüssel ist entscheidend für Anmeldung Keine bekannte Sicherheitslöcher http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text22.htm [11.10.2001 11:04:13]
4. Das SSH-Protokoll Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 4. Das SSH-Protokoll In Anwendungsebene einzuordnen Baut auf TCP/IP auf Binäres, paketorientiertes Protokoll Überträgt Bytestrom Untergliederung in drei unabhänige Protokolle Alle drei Protokolle zusammen ermöglichen sichere Verbindung http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text23.htm [11.10.2001 11:04:14]
4.1 Transport-Schicht-Protokoll Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 4.1 Transport-Schicht-Protokoll Setzt auf einer TCP/IP-Verbindung auf Läuft auch auf einer UDP-Verbindung Unterstützt verschlüsselte Anmeldung beim Server Unterstützt verschiedene Verschlüsselungsarten (RSA, Passwort...) Ermöglicht Kompression des Datenstroms http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text24.htm [11.10.2001 11:04:15]
4.2 Authentifizierungs-Protokoll Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 4.2 Authentifizierungs-Protokoll Setzt auf dem Transport-Schicht-Protokoll auf Bearbeitet Benutzeranmeldungen beim Server Akzeptiert mehrere gleichzeitige Anmeldungen verschiedener Clients Voraussetzung für sicheres Arbeiten ist sichere Verbindung (s. Transportschicht!) http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text25.htm [11.10.2001 11:04:15]
4.3 Verbindungs-Protokoll Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 4.3 Verbindungs-Protokoll Setzt auf Authentifizierungs-Protokoll auf Leitet Verbindungen weiter "Tunelling" von Verbindungen Ermöglicht die Übertragung von Steuersignalen und Umgebungsvariablen Ermöglicht Umladen des Displays Ermöglicht Ausführung von Programmen auf entfernten Rechnern http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text26.htm [11.10.2001 11:04:15]
5. Verfügbarkeit von SSH Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 5. Verfügbarkeit von SSH SSH 1.x (http://www.ssh.org) frei verfügbar unterstützt Windows, Mac, Unix-Derivate SSH 2.x (http://www.ssh.org) Weiterentwicklung von SSH 1.x, aber inkompatibel lizenzpflichtig unterstützt Windows, Mac, Unix-Derivate http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text27.htm [11.10.2001 11:04:15]
5. Verfügbarkeit von SSH Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 5. Verfügbarkeit von SSH OpenSSH (http://www.openssh.com) kompatibel zu SSH 1.x verwendete Algorithmen sind frei zugänglich Einsatz im privaten und kommerziellen Gebrauch frei Im weiteren wird die SSH 2.x Implementierung betrachtet http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text28.htm [11.10.2001 11:04:16]
6. Installation und Generierung der Schlüssel Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 6. Installation und Generierung der Schlüssel Installation von SSH auf Client und Server notwendig Einwahl aller Benutzer nur bei Installation durch Superuser möglich http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text29.htm [11.10.2001 11:04:16]
6.1 Installation Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 6.1 Installation Aufruf von "configure" Festlegen der Umgebungsvariablen für das Kompilieren (Pfad des C-Compilers, Flags...) Festlegen der zu verwendenden Verschlüsselungsalgorithmen (IDEA, RSA...) Aufruf von "make" (Kompilieren) Aufruf von "make-install" (Installieren) http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text30.htm [11.10.2001 11:04:16]
6.2 Generierung der Schlüssel Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 6.2 Generierung der Schlüssel Anlage des Host-Keys (öffentlicher und geheimer) Anlage von öffentlichen und privaten Benutzerschlüsseln mit "ssh-keygen2" durch Option "-P" wird Schlüssel ohne Passwort angelegt (nötig z.b. bei Host-Key) Import von PGP-Schlüsseln möglich http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text31.htm [11.10.2001 11:04:17]
6.3 Einbinden der Schlüssel Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 6.3 Einbinden der Schlüssel Ablage des öffentlichen Schlüssels auf entferntem Rechner im Unterverzeichnis ".ssh2" des Benutzerverzeichnis Name des Schlüssels in Datei "authorization" Geheimer Schlüssel verbleibt nur auf lokalem Rechner, ebenfalls im Unterverzeichnis ".ssh2" Name des Schlüssels in Datei "identification" Schlüsselwörter der Dateien in Online-Hilfe http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text32.htm [11.10.2001 11:04:17]
7. Ablauf der Kommunikation Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 7. Ablauf der Kommunikation Verbindungsaufnahme Authentifizierung des Servers Authentifizierung des Benutzers Verschlüsselte Datenübertragung Verbindungsabbau Ablauf bei allen Betriebssystemen gleich http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text33.htm [11.10.2001 11:04:17]
7.1 Verbindungsaufnahme und Authentifizierung Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 7.1 Verbindungsaufnahme und Authentifizierung Bei Anfrage startet Server neuen SSH-Daemon Generierung eines neuen Schlüsselpaares (Server-Key) mit 768-Bit Server-Key liegt nur im Hauptspeicher und wird jede Stunde neu erstellt Server sendet seine beiden öffentlichen Schlüssel (Server-Key und Host-Key) an Client Client überprüft ob Host-Key in Liste der bekannten Server enthalten Nicht enthalten: hinzufügen in Liste möglich, aber nicht empfehlenswert ("Man in the middle attack") Enthalten: Kommunikation wird fortgesetzt http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text34.htm [11.10.2001 11:04:18]
7.2 Authentifizierung des Benutzers Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 7.2 Authentifizierung des Benutzers Client erzeugt einen zufälligen Sitzungsschlüssel Kodierung mit öffentlichem Host-Key und öffentlichem Server-Key, Ergebnis an Server Server kann den Sitzungsschlüssel nur mit seinen beiden geheimen Schlüsseln (Host-Key und Server-Key) entziffern danach werden alle übertragenen Daten mit dem vorher gewählten symmetrischen Verfahren und dem Sitzungsschlüssel verschlüsselt Authentifizierung des Benutzers (siehe 3.) http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text35.htm [11.10.2001 11:04:18]
8. Benutzung der SSH Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 8. Benutzung der SSH Die SSH soll die von UNIX bekannten r-utilities ersetzen (wie z.b. rlogin, rsh oder rcp) Syntax und Optionen ähnlich wie bei r-utilities http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text36.htm [11.10.2001 11:04:18]
8.1 SCP2 - Secure Copy Client Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 8.1 SCP2 - Secure Copy Client Verschlüsselter Austausch von Dateien zwischen zwei Rechnern über das Netzwerk Aufruf: scp2 [Optionen] [Benutzer@]Rechner[#Port]:]Datei [Benutzer@]Rechner[#Port]:]Datei oder Verzeichnis http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text37.htm [11.10.2001 11:04:19]
8.2 SSH2 - Secure Shell Client Erste Seite Zurück Weiter Letzte Seite Übersicht Grafik 8.2 SSH2 - Secure Shell Client Einwahl auf einem entfernten Rechner Ausführen von Kommandos auf entferntem Rechner Aufruf: ssh2 [Optionen] entfernterrechner [auszuführenerbefehl] Wichtige Optionen von SSH2: -l user Benutzername bei der Einwahl verwenden -f Nach der Einwahl als Hintergrundprozess starten -p port Portnummer des SSHD2-Daemon auf Server +C Kompression einschalten (bei anderen Versionen "-C") http://www.htw.uni-sb.de/fb/gis/people/wpauly/vortraege_internet/ws99_00/secureshell/folien/text38.htm [11.10.2001 11:04:19]