Aspecte de securitate a reelelor IPSEC 1 Ce
- Slides: 32
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? IPsec e o extensie a protocolului IP care furnizeaza securitatea IP-ului si a protocoalelor nivelelor superioare. A fost dezvoltat mai intai pentru noul standard IPv 6 si apoi adaptat la IPv 4.
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? IPsec foloseste 2 protocoale diferite: AH si ESP pentru a asigura: • autenticitatea; • integritatea; • confidentialitatea comunicarii. AH = Authentication Header ESP = Encapsulating Security Payload
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Poate proteja fie intreaga datagrama a IP-ului sau numai protocoalele nivelelor superioare. Modurile cele mai convenabile/potrivite sunt: • modul tunel (tunnel mode); • modul transport (transport mode).
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Observaţii: 1. In modul tunel, datagrama IP e toata incapsulata de o noua datagrama IP folosind protocolul IPsec. 2. In modul transport doar incarcatura utila(payload-ul) datagramei IP e condus de protocolul IPsec inserand header-ul IPsec intre header-ul IP si header-ul protocolului superior. (vezi figura următoare)
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec?
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Pentru a proteja integritatea datagramelor IP, protocoalele IPsec folosesc coduri de autenticitate HMAC (Hash Message Authentication Codes). Pentru a genera HMAC, protocoalele IPsec folosesc algoritmi hash ca MD 5 si SHA pentru a calcula un hash bazat pe o cheie secreta si pe continuturile datagramei IP. HMAC e apoi inclus in header-ul protocolului IPsec si receptorul pachetului poate contola/accesa HMAC-ul daca are acces la cheia secreta.
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Functia de calcul HMAC este: Unde: • H: este o funcţie criptografică de dispersie (SHA, MD 5, etc) • K: este cheia secretă • m: mesajul de autentificat • ++: concatenare pe biţi • : operaţia XOR • opad = 0 x 5 C. . . 5 C • ipad = 0 x 36. . . 36
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Măsuri de securitate suplimentare: 1. Sliding window: Pentru a proteja, impotriva atacurilor, protocolul foloseşte o aşa-zisă fereastra alunecatoare (sliding window). Fiecarui pachet i se stabileste un numar de secventa si e acceptat doar daca numarul pachetului e in cadrul ferestrei sau in apropiere. Pachetele mai vechi sunt imediat indepartate. Aceasta protejeaza impotriva atacurilor cu raspuns unde atacatorul inregistreaza pachetele originale si le raspunde mai tarziu (modificate).
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Măsuri de securitate suplimentare: 1. Sliding window:
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Măsuri de securitate suplimentare: 2. Security Association: Pentru ca partenerii sa fie capabili sa incapsuleze si decapsuleze pachetele IPsec au nevoie de un mod de a pastra cheile secrete, algoritmii si adresele IP implicate in comunicare. Toti acesti parametri necesari pentru protectia datagramelor IP sunt stocate/salvate intr-o asociatie de securitate SA (security association). SA sunt depozitate intr-o baza de date SA (SAD).
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Măsuri de securitate suplimentare: 2. SA. Parametrii: 1. Sursa si destinatia adresei IP a header-ului IPsec rezultat. 2. Protocolul IPsec (AH sau ESP), cateodata comprimarea (IPCOMP) e suportata. 3. Algoritmul si cheia secreta folosite de protocolul IPsec. 4. Parametrul index de securitate (Security Parameter Index – SPI). Acesta e un numar pe 32 de biti care identifica SA.
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Măsuri de securitate suplimentare: 2. SA. Parametri suplimentari: 1. Modul IPsec (tunel sau transport) 2. Marimea ferestrei alunecatoare(sliding window) pentru a proteja impotriva atacurilor cu raspuns (replay attacks) 3. Timpul de viata a SA
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Măsuri de securitate suplimentare: 2. SA. Alte observaţii 1. Deoarece SA defineste sursa si destinatia adreselor IP, poate proteja doar intr-o directie a traficului intro comunicare IPsec duplex intreaga. Pentru a proteja in ambele directii IPsec necesita 2 SA unidirectionale. 2. SA doar specifica cum IPsec trebuie sa protejeze traficul. Informatia aditionala e necesara sa defineasca care trafic sa protejeze si cand. Aceasta informatie e stocata/salvata in politica de asigurare SP (security policy) care in schimb e salvata intr-o baza de date cu politici de asigurare SPD (security policy database).
Aspecte de securitate a reţelelor. IPSEC 1. Ce e IPsec? Măsuri de securitate suplimentare: 2. SA. Parametrii SP: 1. Sursa si destinatia adreselor pachetelor care necesita sa fie protejate. 2. Protocolul (si portul) care trebuie protejat.
Aspecte de securitate a reţelelor. IPSEC 2. Protocoale IPsec Familia protocoalelor IPsec consta in 2 protocoale: header de autentificare: 1. AH (Authentication Header) 2. incarcatura utila de securitate incapsulat ESP (Encapsulated Security Payload). Ambele sunt protocoale IP independente. • AH e protocolul IP 51; • ESP e protocolul IP 50.
Aspecte de securitate a reţelelor. IPSEC 2. Protocoale IPsec 1. AH – Authentication Header
Aspecte de securitate a reţelelor. IPSEC 2. Protocoale IPsec 1. ESP – Encapsulated Security Payload
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER SSL este un protocol dezvoltat de Netscape pentru transmiterea documentelor particulare de-a lungul Internetului. Foloseste un sistem de criptografie care utlizeaza 2 chei pentru criptarea datelor: o cheie publica cunoscuta de toti utlizatorii si o cheie secreta cunoscuta doar de cel care transmite mesajul. Netscape Navigator (Firefox) si Internet Explorer suporta SSL si foarte multe site-uri web folosesc protocolul pentru a obtine informatii confidentiale utilizatorilor cum ar fi cartile de credit.
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Conventional URL-urile care implementeaza conexiunile SSL încep cu https: // în loc de http: // SSL foloseste o conexiune sigura între un client si un server, conexiune prin care datele pot fi transimse sigur. Protocolul a fost aprobat de IETF (Internet Engeenering Taskforce) ca standard.
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Original, SSL a fost dezvoltat de Netscape, pentru a asigura securitatea datelor transportate si routate de HTTP, LDAP, POP 3. (LDAP = Lightweight Directory Access Protocol ) SSL utilizeaza TCP pentru a furniza o conexiune sigura si autentificata între cele doua puncte ale retelei ( clientul si serverul).
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Protocolul SSL intre protocoalele nivelului aplicatie si TCP/IP
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Obiectivele principale protocolui SSL sunt: 1. Autentificarea clientului si serverului unul fata de celalalt. SSL permite utilizarea tehnicilor standard de criptare (cu cheie publica) pentru a permite autentificarea celor doua parti. 2. Desi cele mai frecvente aplicatii constau in autentificarea unui serviciu client pe baza unui certificat, SSL poate folosi acestă metodă si pentru a autentifica clientul.
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Obiectivele principale protocolui SSL sunt: 2. Asigurarea integritatii datelor: în timpul unei sesiuni datele nu pot fi falsificate.
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Obiectivele principale protocolui SSL sunt: 3. Asigurarea confidentialitatii datelor: datele de transport dintre client si browser trebuie protejate de interceptarea si citirea lor. Acest lucru este necesar atât pentru datele asociate cu protocolul însusi (securizarea traficului în timpul negocierii) cât si pentru datele aplicatiei care sunt transmise în timpul sesiunii. Privit din acest punct de vedere SSL este mai mult un set de protocoale decât unul singur. SSL poate fi divizat pe 2 niveluri:
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Obiectivele principale protocolui SSL sunt: 3. Asigurarea confidentialitatii datelor: SSL poate fi divizat pe 2 niveluri: • Protocolul care asigura securitatea si integritatea datelor SSL Record Protocol (Protocolul de înregistrare SSL) • Protocolul care stabileste conexiunile SSL. Alte 3 protocoale sunt folosite la acest nivel: - Protocolul SSL Handshake (Protocolul dialogului de confirmare) - Protocolul SSL Change Cipher (Protocolul modificare de cifru SSL) - Protocolul SSL Alert (Protocolul de alerta SSL).
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Stiva de protocoale SSL
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Crearea unui pachet sub protocolul SSL Record
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Stabilirea unei sesiuni SSL intre server si client: Faza 1: în timpul primei faze, o conexiune logica trebuie initiata între client si server, urmata de negocierea parametrilor. Clientul trimite un mesaj de salut serverului care contine date cum ar fi : • cea mai noua versiune SSL pe care o foloseste • date aleatoare folosite pentru protectia cheii de sesiune • id-ul sesiunii • lista cu cifruri : o lista de algoritmi de criptare si metode de schimb ale cheilor suportate de catre client.
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Serverul, ca mesaj de raspuns fata de client trimite, de asemenea, un mesaj de salut clientului continând aceleasi câmpuri ca la mesajul primit: • versiunea • date aleatoare • id-ul sesiunii • lista de cifruri
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Faza 2: Serverul începe urmatoare faza a negocierii trimitând certificatul sau pentru a fi autentificat de catre client. Acest pas nu este obligatoriu si poate fi omis daca metoda negociata pentru schimbul de chei nu cere transmiterea certificatului. Pasul final al fazei 2 este mesajul de raspuns al serverului. Dupa trimiterea acestui mesaj se asteapta un raspuns.
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Faza 4: Consta în confirmarea mesajului primit si verificarea datelor. Clientul trimite un mesaj cu lista de cifruri si apoi fixeaza parametrii si cheile algoritmilor, clientul trimite mesajul de inchidere care este protejat prin intermediul algoritmului si cheilor secrete. Astfel se confirma daca parmetrii negociati si datele sunt corecte. Serverul, ca raspuns al mesajului client trimite aceeasi secventa de mesaj.
Aspecte de securitate a reţelelor. SSL 1. SSL – SECURE SOCKET LAYER Faza 3: La primirea mesajului clientul ar trebui sa verifice certificatul serverului, precum si ceilalti parmetrii transmisi de server odata cu mesajul de salut.
