30 Mayıs 2010 Pazar

9: Bağlantı Güvenliği - SSL


  • Bağlantı güvenliği için iki tür teknoloji söz konusu:
    • S-HTTP: HTTP'nin içinde konuşlanmıştır; 1999'da ortaya çıkmıştır, günümüzde kullanımı yok gibidir.
    • SSL/TLS: TCP ile HTTP protokolü arasında yeni bir protokolmüş gibi konuşlanmıştır. Hemen herkes bağlantı güvenliği için bu protokolü kullanır. Kullanıcıya yansıması HTTPS'tir.
  • SSL Tokalaşması:
    • İstemci, desteklediği SSL versiyonu ve şifre demetlerini sunucuya gönderir.
    • Sunucu, ikisinin birlikte desteklediği en güçlü SSL versiyonu ve şifre demetini istemciye gönderir.
  • Şu anda SSL 1.0 ve 2.0 artık güvensiz, 3.0 güvenli. TLS 1.0, 1.1 ve 1.2 güvenli olarak biliniyor.
  • Şifre demeti paterni: SSL_RSA_WITH_RC4_128_MD5
    • SSL: protokol
    • RSA: key exchange / authentication (anahtar değişim)
    • RC4: symmetric encyription (simetrik şifreleme)
    • MD5: integrity protection (bütünlük koruma)
  • Zayıf kabul edilen parametreler:
    • Protokol: SSL 2.0 ve altı,
    • Anahtar değişim fazı: Anonymous Diffie-Hellman, EXPORT RSA,
    • Simetrik şifreleme: NULL şifreleme; 56 bit ve altı şifreleme algoritmaları,
    • Bütünlük koruma: MD2, MD4. MD5? (SHA ONE kullanılabilir)
  • SSL Test araçları örnekleri
    • Nessus (SSL plugin'leri ile)
    • SSLDigger (2004, Foundstone, McAfee)
    • Cypher Control
    • ServerSniff (http://www.serversniff.net/content.php?do=ssl)
  • SSL sertifikasının güvenilir olup olmadığı kontrolü (İlk 3 madde browserlar tarafından otomatik olarak kontrol ediliyor zaten):
    • Issued to alanı ile sitenin domaininin aynı olması gerekir.
    • Issued by alanındaki sertifika veren kuruşlun güvenilir bir kuruluş olması beklenir. Sertifikanın güvenilir kök makamdan onaylı olması beklenir (CA).
    • Sertifika geçerlilik sürelerinin dolup dolmadığı kontrol edilir.
    • En yeni SSL/TLS sürümünün kullanılması beklenir.
    • Kuvvetli şifreleme demetleri kullanılmalıdır.
  • Internet browser’da sertifikaları yönet diyerek güvenilir sertifika verenler listesi görülebilir.
  • Web/Uygulama sunucuları ile veritabanı, dizin sunucusu vs arasındaki bağlantının kriptolu olup olmadığı testlerde mutlaka gözden geçirilmelidir. Özellikle gizlilik derecesi yüksek olan ağlara sahip kurumlarda.
zaman:
Etiketler: , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)

Web Uygulama Sızma Testleri İçin Kontrol Listeleri - V

Checklist for Web App Pentesting - V 6. Veri Denetimi (Data Validation) Testleri 6.1 Girdi Denetimi Bütün girdiler denetlenmelidir....