IPSec IP Security Protocol Henri Koskenheimo 0301508 Taustaa

  • Slides: 21
Download presentation
IPSec IP Security Protocol Henri Koskenheimo 0301508

IPSec IP Security Protocol Henri Koskenheimo 0301508

Taustaa • IP (Internet Protocol) ei tarjoa suojaa • IPSec kehitettiin tuomaan IP: lle

Taustaa • IP (Internet Protocol) ei tarjoa suojaa • IPSec kehitettiin tuomaan IP: lle turvallisuusominaisuuksia • IPSec tukee sekä IPv 4: ää että IPv 6: tta • IP: n päällä kulkeva liikenne, kuten TCP ja UDP, voidaan suojata IPSecillä • IPSec voidaan konfiguroida sekä päätelaitteeseen (PC) että reitittimeen • IPSec tunneli voidaan luoda • Päätelaitteesta toiseen päätelaitteeseen (end-to-end) • Päätelaitteesta reitittimeen • Reitittimien välille

IPSecin arkkitehtuuri Architecture ESP AH Encryption algorithm Authentication algorithm Domain of Interpretation Key Management

IPSecin arkkitehtuuri Architecture ESP AH Encryption algorithm Authentication algorithm Domain of Interpretation Key Management Policy

IPSecin protokollat • IPSecillä on kaksi protokollaa: Authentication Header (AH) ja Encapsulating Security Payload

IPSecin protokollat • IPSecillä on kaksi protokollaa: Authentication Header (AH) ja Encapsulating Security Payload (ESP) • AH varmistaa tiedon eheyden ja autentikoi käyttäjät • AH ei tarjoa luottamuksellisuutta, koska AH: ssa ei voi käyttää kryptausta • ESP sisältää myös luottamuksellisuuden • Paras suojaus saavutetaan, kun käytetään ESP: tä ja AH: ta samaan aikaan

FTP-liikenne ilman salausta

FTP-liikenne ilman salausta

FTP-liikenne ESP: llä salattuna

FTP-liikenne ESP: llä salattuna

IPSec moodit 1/2 Protokollia voidaan käyttää kahdessa eri moodissa: Transport ja Tunnel • Transport

IPSec moodit 1/2 Protokollia voidaan käyttää kahdessa eri moodissa: Transport ja Tunnel • Transport moodi • Suojaa ylemmän tason protokollat • Käytetään yleensä päätelaitteiden välillä

IPSec moodit 2/2 • Tunnel moodi • Suojaa koko IP-paketin • Käytetään yleensä reitittimien

IPSec moodit 2/2 • Tunnel moodi • Suojaa koko IP-paketin • Käytetään yleensä reitittimien välillä

AH header Transport moodissa (IPv 4) Original IP header AH TCP Data Kaikki kentät

AH header Transport moodissa (IPv 4) Original IP header AH TCP Data Kaikki kentät autentikoitu, paitsi muuttuvat

ESP header Transport moodissa (IPv 4) Original IP header TCP Data ESP ESP TCP

ESP header Transport moodissa (IPv 4) Original IP header TCP Data ESP ESP TCP Data Trailer Header Auth Kryptattu Autentikoitu

AH header Tunnel moodissa (IPv 4) Original IP header New IP header AH Original

AH header Tunnel moodissa (IPv 4) Original IP header New IP header AH Original IP header TCP Data Kaikki kentät autentikoitu, paitsi ”New IP headerin” muuttuvat

ESP header Tunnel moodissa (IPv 4) Original IP header New IP ESP header Header

ESP header Tunnel moodissa (IPv 4) Original IP header New IP ESP header Header Original IP header TCP Data ESP TCP Data Trailer Auth Kryptattu Autentikoitu

Autentikointi- ja kryptausalgoritmeja • Autentikointialgoritmeja • MD 5 (Message Digest 5) • SHA 1

Autentikointi- ja kryptausalgoritmeja • Autentikointialgoritmeja • MD 5 (Message Digest 5) • SHA 1 (Secure Hash Algorithm 1) • Kryptausalgoritmeja • AES (Advanced Encryption Standard) • DES (Data Encryption Standard) • 3 DES • Blowfish

Internet Key Exchange (IKE) • IKEn tarkoitus on muodostaa IPSec-yhteys kahden koneen välille ja

Internet Key Exchange (IKE) • IKEn tarkoitus on muodostaa IPSec-yhteys kahden koneen välille ja neuvotella avaimet • IKE jakautuu kahteen eri vaiheeseen • Vaihe 1 • Osapuolten autentikointi (Pre-shared key tai sertifikaatti) • Salatun yhteyden luominen avainten vaihtoa varten • Vaihe 2 • Avainten neuvottelu

Sertifikaatin verifiointi

Sertifikaatin verifiointi

Digitaalinen allekirjoitus

Digitaalinen allekirjoitus

IP-paketin prosessointi • Ulos lähtevä paketti • IP-paketin kulkiessa transport kerrokselta IP kerrokselle, se

IP-paketin prosessointi • Ulos lähtevä paketti • IP-paketin kulkiessa transport kerrokselta IP kerrokselle, se sovitetaan IPSecin suodattimeen • Jos joku kriteeri täyttyy, paketti voidaan salata, olla salaamatta tai pudottaa pois • Kriteereitä ovat: • Lähettäjän IP-osoite • Vastaanottajan IP-osoite • Käytettävä protokolla • Käytettävä portti • Systeemin nimi • Sisään tuleva paketti • Kun paketti saapuu, tarkistetaan onko se IPSec-paketti, sitten tarkistetaan pitäisikö sen olla IPSec-paketti • Hylätään, päästetään läpi, salataan tai puretaan

IPSec toteutuksia • Päätelaitteet • Windows • Linux Free. S/WAN • Free. BSD Raccoon

IPSec toteutuksia • Päätelaitteet • Windows • Linux Free. S/WAN • Free. BSD Raccoon • HP-UX • Sun Solaris • Reitittimet • Nokia • Cisco

IPSec IP Security Protocol Henri Koskenheimo 0301508 TaustaaIPSec IP Security Protocol Henri Koskenheimo 0301508 Taustaa
THE IPSEC PROTOCOL SUITE IPSEC IPsec is aTHE IPSEC PROTOCOL SUITE IPSEC IPsec is a
La suite di protocolli IPSec IPSec IPsec unaLa suite di protocolli IPSec IPSec IPsec una
IP Security IPSec protocol n Introduction n IPSecIP Security IPSec protocol n Introduction n IPSec
IP Security IPSec protocol n Introduction n IPSecIP Security IPSec protocol n Introduction n IPSec
IPsec IPsec IP security Security for transmission overIPsec IPsec IP security Security for transmission over
IPSec 1 Outline Internet Protocol IPv 6 IPSecIPSec 1 Outline Internet Protocol IPv 6 IPSec
Henri Cartier Bresson Photographerpainter Henri Cartier Bresson HenriHenri Cartier Bresson Photographerpainter Henri Cartier Bresson Henri
IP Security IPSec Matt Hermanson What is IPSecIP Security IPSec Matt Hermanson What is IPSec
TCPIP Example IP Security IPSec l IPSec isTCPIP Example IP Security IPSec l IPSec is
IPSec IP Security IPSec 126 Groep T LeuvenIPSec IP Security IPSec 126 Groep T Leuven
CSE 4905 IPsec 8 1 IPsec v securityCSE 4905 IPsec 8 1 IPsec v security
Network Security IPsec Tuomas Aura IPsec architecture andNetwork Security IPsec Tuomas Aura IPsec architecture and
Chapter 13 IPsec IPsec IP Security A collectionChapter 13 IPsec IPsec IP Security A collection
Lastensuojelulain 5422019 muutokset Lastensuojelulain muutosten taustaa TAUSTAA LastensuojelunLastensuojelulain 5422019 muutokset Lastensuojelulain muutosten taustaa TAUSTAA Lastensuojelun
Unit 8 Network Security IP security IPsec protocolUnit 8 Network Security IP security IPsec protocol
Lecture 15 IPsec AH and ESP IPsec introductionLecture 15 IPsec AH and ESP IPsec introduction
COEN 350 IPSec SSL SSH IPSec n RFCCOEN 350 IPSec SSL SSH IPSec n RFC
IPsec Policy IPsec does not define policy howeverIPsec Policy IPsec does not define policy however
IPSec and TLS Lesson Introduction IPSec and theIPSec and TLS Lesson Introduction IPSec and the