Martin Vorländer PDV-SYSTEME GmbH

Ähnliche Dokumente
Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

SSH. Die Secure Shell am Beispiel von OpenSSH. Dirk Geschke. Linux User Group Erding. 26. Oktober 2011

Connectivity Everywhere

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

PKI (public key infrastructure)

Erste Vorlesung Kryptographie

HTWK Leipzig. Matthias Jauernig. Die Secure Shell

Remote Tools. SFTP Port X11. Proxy SSH SCP.

Remote Tools SFTP. Port X11. Proxy SSH SCP.

IT-Sicherheit Kapitel 11 SSL/TLS

How to install freesshd

Stammtisch Zertifikate

Virtual Private Network. David Greber und Michael Wäger

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Informatik für Ökonomen II HS 09

Seminar Internet-Technologie

Programmiertechnik II

Betriebssystem Windows - SSH Secure Shell Client

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Modul 11: Sicherer Remote-Zugriff über SSH

Nachrichten- Verschlüsselung Mit S/MIME

IT-Sicherheit Kapitel 13. Sicherheit

Mit Putty und SSH Key auf einen Linux Server zugreifen. Vorbereitungen auf dem Client Rechner

VPN: Virtual-Private-Networks

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep Tatjana Heuser: Systemverwaltung

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Secure Socket Layer V.3.0

Die Idee des Jahres 2013: Kommunikation verschlüsseln

OpenPGP Eine Einführung

Datenempfang von crossinx

Comtarsia SignOn Familie

Benutzeranleitung (nicht für versierte Benutzer) SSH Secure Shell

Verschlüsselte s: Wie sicher ist sicher?

SSH Secure Shell. Die Secure Shell im Einsatz LugBE Off-Event Vortrag. Patrik Schilt 22. Januar 2004 Restaurant Beaulieu, Bern

VIRTUAL PRIVATE NETWORKS

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

-Verschlüsselung

Websites mit Dreamweaver MX und SSH ins Internet bringen

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von Simon Knierim & Benjamin Skirlo.

Netzwerksicherheit Übung 5 Transport Layer Security

Zehn SSH Tricks. Julius Plen z

Vertraulichkeit für sensible Daten und Transparenz für ihre Prozesse

Einrichtung Secure-FTP

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Die Benutzung von ssh unter Unix

SSL/TLS: Ein Überblick

Reale Nutzung kryptographischer Verfahren in TLS/SSL

Integration von Zertifikaten in Benutzerverwaltungssysteme

Internet unter OpenVMS Eine Übersicht

FL1 Hosting Technische Informationen

Remote Tools. SFTP Port X11. Proxy SSH SCP.

Verteilte Systeme Unsicherheit in Verteilten Systemen

Verteilte Systeme. Übung 10. Jens Müller-Iden

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

POP3 über Outlook einrichten

Rechnernetze Praktikum

Einrichten eines SSH - Server

-Verschlüsselung

IMAP und POP. Internet Protokolle WS 12/13 Niklas Teich Seite 1

SSL-Protokoll und Internet-Sicherheit

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

PGP-Verschlüsselung. PGP-Verschlüsselung beim -versand von Dateien in der Micro-Epsilon-Gruppe. Mit Abstand der bessere Weg

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

Workshop: IPSec. 20. Chaos Communication Congress

Nationale Initiative für Internet- und Informations-Sicherheit

E-Government in der Praxis Jan Tobias Mühlberg. OpenPGP. Brandenburg an der Havel, den 23.

Eine Praxis-orientierte Einführung in die Kryptographie

FTP-Leitfaden RZ. Benutzerleitfaden

9 Schlüsseleinigung, Schlüsselaustausch

SSL/TLS und SSL-Zertifikate

Web of Trust, PGP, GnuPG

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

CCC Bremen R.M.Albrecht

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? , Frank Agerholm, Linux User Group Flensburg e.v.

FTP-Leitfaden Inhouse. Benutzerleitfaden

3 Netzdienste im Internet. vs3 1

Verschlüsselung. Kirchstraße 18 Steinfelderstraße Birkweiler Bad Bergzabern Fabian Simon Bfit09

ITF2XML. Transferservice. Version 1.1. Tel.: 044 / Fax: 044 / CH-8005 Zürich

Thunderbird Portable + GPG/Enigmail

Modul und FTP. Unit 6. (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS

Einrichtung eines -Kontos bei MS Office Outlook 2010 (Windows) Stand: 03/2011

Anleitungen zur Konfiguration verschiedener Mailclients und Informationen zu der -Infrastruktur von Hostpoint.

Anleitung für -Client Thunderbird mit SSL Verschlüsselung

STARFACE SugarCRM Connector

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Cryptoparty: Einführung

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

10. Kryptographie. Was ist Kryptographie?

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

System-Update Addendum

Einführung in PGP/GPG Mailverschlüsselung

VPNs mit OpenVPN. von Michael Hartmann netz.de>

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Transkript:

SSH - eine Einführung Martin Vorländer PDV-SYSTEME GmbH

Das Problem TCP/IP-Dienste (z.b. Telnet, FTP, POP3, SMTP, r Services, X Windows) übertragen alle Daten im Klartext - auch Passwörter! Es existieren diverse Möglichkeiten, dies auszunutzen, z.b. Packet Sniffing Man-in-the-middle Es gibt keine Möglichkeit (außer dem Passwort), einen entfernten Benutzer zu authentisieren

Lösungsansätze Kerberos hoch-gesicherter Server nötig stellt API zur Verfügung spezielle Programmversionen ("kerberized") nötig Internet Protocol Security (IPSEC) muß in den IP-Stack auf beiden Seiten der Verbindung eingebaut sein transparent für den Benutzer wird i.allg. zum Aufbau von "Virtual Private Networks" (VPNs) benutzt, d.h. nicht end-to-end

Lösungsansätze (Forts.) Secure Socket Layer (SSL) Transport Layer Security (TLS) zusätzliche Schicht im TCP-Stack basiert auf Zertifikaten (i.d.r. von einer "Certificate Authority") primäre Anwendung: HTTPS es existieren SSL-Versionen von Telnet und FTP stunnel Pretty Good Privacy (PGP) Verschlüsseln und Signieren von Dateien und E-Mails

Was ist SSH? Name stammt von "Secure Shell" analog zu rsh ("remote shell") keine "Shell" im Unix-Sinn! Client/Server-Protokoll zwei (inkompatible) Versionen: SSHv1 und SSHv2

Was leistet SSH? Authentisierung Verschlüsselung der Verbindung End-to-End! Integrität der Daten Port Forwarding ("Tunneln" anderer Dienste) einzige Voraussetzung: Server auf fester Portnummer X Port Forwarding eingebaut

Kryptographie

Kryptographie (Forts.) Secret Key symmetrische Verfahren Nachteil: erfordert sicheren Transport des Schlüssels Vorteil: schnell Public/Private Key asymmetrische Verfahren Vorteil: Public Keys können öffentlich ausgetauscht werden Nachteil: langsam Heute meist Hybrid-Verfahren Austausch eines (generierten) Secret Key, verschlüsselt mit Public/Private Key-Verfahren

Public/Private Key: Verschlüsseln

Public/Private Key: Authentisieren

Wie funktioniert SSH? (1/3) Client öffnet Verbindung zum Server (i.d.r. Port 22) Client und Server tauschen SSH-Versionen aus beide Seiten schalten auf paket-basiertes Protokoll Pakete enthalten zufällig generierte Füllbytes Server sendet Public Host Key Server Key (regelmäßig generiert; nur SSHv1) Check Bytes (generiert; zur Erzeugung eines Session Identifiers) Liste von unterstützten Verschlüsselungen, Kompressionen, Authentisierungen

Wie funktioniert SSH? (2/3) Client sucht Host Key in seiner SSH Host Database falls nicht vorhanden oder geändert: Nachfrage Client wählt Verschlüsselung, Kompression, Authentisierung aus der Liste Client generiert einen (symmetrischen) Session Key Client sendet seine Auswahl und Session Key, verschlüsselt mit Host Key und Server Key

Wie funktioniert SSH? (3/3) Server entschlüsselt Session Key Server sendet Bestätigung (verschlüsselt mit Session Key) Verschlüsselte Datenverbindung wird aufgenommen Client authentisiert sich Session Key wird periodisch neu generiert SSHv2: Austausch des Session Key über ein Diffie-Hellman-Verfahren

SSHv1

SSHv2

Verschlüsselung SSH v1.5 Public Key: RSA Hash: MD5, CRC-32 Secret Key: 3DES, IDEA, ARCFOUR, DES (OpenSSH: 3DES, Blowfish) SSH v2.0 Public Key: DSA, DH (nur für Key Exchange) (F-Secure: auch RSA für Authentisierung) Hash: SHA-1, MD5 Secret Key: 3DES, Blowfish, Twofish, CAST-128, IDEA, ARCFOUR (OpenSSH: kein Twofish)

Authentisierung Public Key Passwort Host-based (nur SSHv2) Rhosts, RhostsRSA (nur SSHv1) Kerberos, TIS (nur SSHv1, wenn einkompiliert)

Dateien Client SSHv1 SSHv2 Konfig-Datei ~/. ssh/ conf i g ~/. ssh2/ ssh2_conf i g / et c/ ssh_conf i g / et c/ ssh2/ ssh2_conf i g Key-Dateien ~/. ssh/ i dent i t y ~/. ssh2/ i dent i f i cat i on ~/. ssh/ i d_dsa[. pub] Host Database / et c/ ssh_knownhost s / et c/ ssh2/ knownhost s/ * / et c/ ssh2/ host keys/ * ~/. ssh/ known_host s ~/. ssh2/ knownhost s/ * ~/. ssh2/ host keys/ * ~/. ssh/ known_host s2 Server SSHv1 SSHv2 Konfig-Datei / et c/ sshd_conf i g / et c/ ssh2/ sshd2_conf i g Host-Keys / et c/ ssh/ ssh_host _key[. pub] / et c/ ssh2/ host key[. pub] / et c/ ssh/ ssh_host _dsa_key[. pub] Autorisierung / et c/ host s. equi v / et c/ shost s. equi v Account-Autorisierung ~/. ssh/ aut hor i zed_keys ~/. ssh2/ aut hor i zat i on ~/. ssh/ aut hor i zed_keys2 ~/. r host s ~/. shost s kursiv gedruckte Dateinamen: SSHv2 unter OpenSSH

Kommandos ssh - analog zu rsh Clientseitig zuständig für Port Forwarding slogin - analog zu rlogin scp - analog zu rcp sftp - analog zu ftp (nur SSHv2) ssh-keygen - Erzeugen von Schlüsseln ssh-agent - Authentisierungsagent ssh-add - Übergeben von Identitäten an ssh-agent sshd[2] - SSH Daemon

ssh ssh SshServerName ssh -l UserName SshServerName ssh UserName@SshServerName ssh SshServerName CommandToRun ssh -v SshServerName

scp / sftp scp localfile user@remotehost:/path/file entspricht ssh -x -a -l user \ -o "FallBackToRsh no" \ -o "ClearAllForwardings yes" \ remotehost \ scp -t /path/file sftp ist ein Frontend zu scp2 mit FTP-ähnlichem Interface

ssh-keygen SSHv1: SSHv2: ssh-keygen -t rsa1 -b 1024 -c 'Comment' \ -f ~/.ssh/identity ergibt identity und identity.pub ssh-keygen -t dsa -b 1024 -f ~/.ssh/id_dsa ergibt id_dsa und id_dsa.pub Exportieren von Keys (OpenSSH) ssh-keygen -e -f inputfile > outputfile SECSH Public Key File Format

Installieren des Public Key SSHv1: ssh-keygen -t rsa1 -b 1024 -c 'Comment' \ -f ~/.ssh/identity scp ~/.ssh/identity.pub user@remotehostname:. ssh -1 user@remotehostname mkdir.ssh cat identity.pub >>.ssh/authorized_keys chmod 644.ssh/authorized_keys chmod 2755.ssh SSHv2 (OpenSSH): Wie oben, mit id_dsa.pub und.ssh/authorized_keys2 SSHv2 (nicht OpenSSH): scp id_dsa_1024_a.pub user@remotehost:.ssh2/ ssh -2 user@remotehostname Key id_dsa_1024_a.pub ->.ssh2/authorization

ssh-agent ssh-agent ssh-agent Command [Arguments] ssh-add ~/.ssh/id_dsa ssh-add -l ssh-add -L

Port Forwarding ssh -2 -f -L 1234:remotehost:23 \ user@remotehost sleep 600 telnet 127.0.0.1 1234

Port Forwarding (Forts.) z.b. POP3 (Port 110): ssh -L 5110:mailserver:110 mailserver "Starte einen Server auf localhost:5110, der allen Traffic zu mailserver:110 leitet." z.b. HTTP (Port 80): ssh -R 80:MyMachine:8000 firewall "Weise firewall an, allen Traffic an Port 80 zu MyMachine:8000 zu leiten." z.b. X Windows (Ports 6000-6063): ist eingebaut, und standardmäßig eingeschaltet

SSH-Implementationen SSH Communications Security, Inc. http://www.ssh.com/ F-Secure SSH http://www.f-secure.com/products/ssh/ VanDyke http://www.vandyke.com/ OpenSSH http://www.openssh.org/

Das Buch zu SSH Daniel J. Barrett & Richard E. Silverman: SSH, The Secure Shell: The Definitive Guide O'Reilly 2001 ISBN 0-596-00011-1 http://www.oreilly.de/catalog/sshtdg/

Fragen?

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback