网络及应用层协议安全分析——应用层协议分析——通过IIS进行HTTPS协议分析.pptx

应用层协议分析

——通过IIS进行HTTPS协议分析

目录

CONTENTS

1

2

3

4

5

任务情景

01

任务情景

磐石公司的小蒋是公司的网络管理员，主要负责各种网络问题。近期小蒋在巡检时发现公司邮箱中出现不明邮件切带有附件信息，这让职业敏感的小蒋感到不安。因此，作为网络管理员的小蒋做了以下分析并给出了合理的解决方案。

任务分析

02

任务分析

不明邮件让小蒋疑惑，邮件中的附件更是令其不解，这份心情让小蒋想到了社会工程学中的好奇心。由此，小蒋推断该邮件中很有可能含有恶意代码。对此，小蒋通过IIS配置HTTPS服务后，通过Wireshark进行筛选抓包，随后分析HTTPS协议的server、client信息，了解SSL连接建立的两个阶段以及下属的子协议，防止针对HTTPS的木马攻击。

预备知识

03

预备知识

于1990年开发，用于保障WorldWideWeb（WWW）通讯的安全。主要任务是提供私密性，信息完整性和身份认证。1994年改版为SSLv2，1995年改版为SSLv3。

TransportLayerSecurity（TLS）标准协议由IETF于1999年颁布，整体来说TLS非常类似与SSLv3，只是对SSLv3做了些增加和修改。

SSL协议概述：SSL是一个不依赖于平台和运用程序的协议，用于保障运用安全，SSL在传输层和应用层之间，就像应用层连接到传输层的一个插口。

SSL连接的建立有两个主要的阶段：

第一阶段：Handshakephase（握手阶段）

a、协商加密算法

b、认证服务器

c、建立用于加密和HMAC用的密钥

第二阶段：Securedatatransferphase（安全的数据传输阶段）

即在已经建立的SSL连接里安全的传输数据。

SSL是一个层次化的协议，最底层是SSLrecordprotocol（SSL纪录协议），recordprotocol包含一些信息类型或者说是协议，用于完成不同的任务。

预备知识

下面我们对SSL/TLS里边的每一个协议的主要作用进行介绍：

（1）RecordProtocol：（记录协议）是主要的封装协议，它传输不同的高层协议和运用层数据。它从上层用户协议获取信息并且传输，执行需要的任务，例如：分片，压缩，运用MAC和加密，并且传输最终数据。它也执行反向行为，解密，确认，解压缩和重组装来获取数据。记录协议包括四个上层客户协议，Handshake（握手）协议，Alert（告警）协议，ChangeCipherSpec（修改密钥说明）协议，ApplicationData（运用层数据）协议。

（2）HandshakeProtocols：握手协议负责建立和恢复SSL会话。它由三个子协议组成。

a、HandshakeProtocol（握手协议）协商SSL会话的安全参数。

b、AlertProtocol（告警协议）一个事务管理协议，用于在SSL对等体间传递告警信息。告警信息包括，1.errors（错误），2.exceptionconditions（异常状况）例如：错误的MAC或者解密失败，3.notification（通告）例如：会话终止。

c、ChangeCipherSpecProtocol（修改密钥说明）协议，用于在后续记录中通告密钥策略转换。

Handshakeprotocols（握手协议）用于建立SSL客户和服务器之间的连接，这个过程由如下这几个主要任务组成：

（1）Negotiatesecuritycapabilities（协商安全能力）：处理协议版本和加密算法。

（2）Authentication（认证）：客户认证服务器，当然服务器也可以认证客户。

（3）Keyexchange（密钥交换）：双方交换用于产生masterkeys（主密钥）的密钥或信息。

（4）Keyderivation（密钥引出）：双方引出mastersecret（主秘密），这个主秘密用于产生用于数据加密和MAC的密钥。

（5）ApplicationDataprotocol：（运用程序数据协议）处理上层运用程序数据的传输。

实验步骤

04

实验步骤

配置服务器和客户机的IP地址

服务器：21

客户机：11

实验步骤

客户机以及服务器，均需要获得CA（证书服务器）的根证书，信任并安装此CA证书链

实验步骤

在客户机以及服务器，确认已经安装了CA的根证书

为服务器申请Server个人证书

实验步骤

提交一个保存的申请到CA，在“保存的申请”框中粘贴一个由外部源(如Web服务器)

生成的base-64编码的CMC或PKCS#10证书申请或PKCS#7续订申请