09 ip sigurnost1 - university of belgrade ip sigurnost.pdf · koja pruža sigurnost za tok saobra...
TRANSCRIPT
IPsec
Zaštita saobraćaja na različitim OSI slojevima
• Data link sloj: zaštita postoji samo na jednom mrežnom segmentu, ali je zaštićen svaki paket na tom segmentu
• Aplikacioni sloj: Zaštićen je dati protokol aplikacionog sloja s kraja na kraj
• Mrežni sloj: Zaštićen je sav saobraćaj s kraja na kraj
Secure VPN funkcije
• Secure VPN ima sledeće funkcije:
– Poverljivost – Poverljivost podataka se dobija kriptovanjem sadržaja paketa.
– Integritet podataka – Integritet podataka se čuva nekim mehanizmom koji potvrđuje da podaci u paketu nisu menjani tokom njegovog prolaza kroz Internet
– Autentikacija porekla – Destinacija vrši autentikaciju pošiljaoca kako bi se osigurala da pakete dobija od odgovarajućeg izvora.
IPSec
• Generalni mehanizmi IP sigurnosti• Pruža
– autentikaciju– tajnost– Upravljanje ključevima
• Primenjivo za LAN, preko javnih i privatnih WAN i preko Interneta
IPSec upotreba
Prednosti IPSec
• Obezbeđuje jaku zaštitu na firewall/ruteruza sav saobraćaj koji prelazi granicu
• Ne može se premostiti• Ispod je transportnog sloja pa je nevidljiv
sa nivoa aplikacije• Može da bude transparentno za krajnje
korisnike• Može pružiti sigurnost pojedinačnim
korisnicima po želji
IPsec
• Skup protokola i metoda opisanim u RFC 2401 i brojnim drugim RFC dokumentima(RFC 6071 – roadmap)
• Sastavni deo IPv6• Osnovne komponente:
– Authentication Header– Encapsulating Security Payload– Internet Key Exchange (IKE/ISAKMP)
• Dva režima prenosa paketa– Tunel– Transport
IPSec Servisi
• Kontrola pristupa• Integritet za poruke razmenjene bez
uspostavljanja konekcije• Autentikacija izvora• Odbijanje ponovljenih (replay) paketa
– Forma delimičnog integriteta sekvence
• Tajnost (enkripcija)• Ograničena zaštita toka saobraćaja
Sigurnosne asocijacije
• one-way relacija između pošiljaoca i primaoca koja pruža sigurnost za tok saobraćaja
• Određena sa 3 parametra:– Security Parameters Index (SPI)– IP Destinaciona adresa– Security Protocol Identifier (AH ili ESP)
• Postoji još niz drugih parametara– seq no, AH & ESP info, lifetime
• Postoji baza sigurnosnih asocijacija
Sigurnosna asocijacija - SA
• SA je skup pravila i metoda koje će IPsec strane u komunikaciji koristiti za zaštitu saobraćaja između njih.
• SA sadrži sve sigurnosne parametre potrebne za siguran transport paketa kroz mrežu korišćenjem IPsec
• Uspostavljanje SA je preduslov za IPSec zaštitu saobraćaja.
• SA su uvek unidirekcione. Za zaštitu saobraćaja u oba smera, potrebno je da postoje dve paralelne SA.
• SA se čuvaju u SA database (SADB)• Skup pravila se čuva u Security policy DB SPDB
11
SA
ESP TUNNEL - SPI_IN
ESP TUNNEL - SPI_OUTMY_EXTERNAL_IP PEER_EXTERNAL_IP
HOST A HOST B
Authentication Header (AH)
• Pruža podršku za integritet podataka i autentikaciju IP paketa– end system/router može da autentikuje
korisnika/aplikaciju– Sprečava address spoofing napade (lažne
source adrese) praćenjem broja sekvence
• Bazira se na korišćenju MAC– HMAC-MD5-96 ili HMAC-SHA-1-96
• Učesnici moraju da dele tajni ključ
Authentication header - AH
Transport & Tunnel Modes
Encapsulating Security Payload (ESP)
• Pruža pouzdanost i tajnost poruke i ograničenu pouzdanost toka saobraćaja
• Opciono pruža autentikacione servise kao AH
• Podržava širok opseg šifri, načina rada i dopunjavanja
Encapsulation Security Payload -ESP
Transport i Tunnel Mod ESP
• transportni mod se koristi da se šifruje i opciono autentifikuju IP podaci– Štite se podaci, ali ne i zaglavlje– Može se raditi analiza saobraćaja, ali je
efikasan– Dobar za ESP saobraćaj između hostova
• tunnel mode šifruje ceo IP paket– Dodaje novo zaglavlje za sledeći skok– Dobar za VPN, sigurnost između gateway-a
Tunnel Mod ESP
ESP i AH u transportnom modu
• AH autentifikuje ceo originalni IP paket
• ESP autentifikuje samo “data” deo originalnog paketa
ESP i AH u tunel modu
• AH autentifikuje ceo originalni IP paket i spoljašnje zaglavlje
• ESP autentifikuje originalni paket i ESP zaglavlje
Kombinovanje sigurnosnih asocijacija
• SA mogu da primene ili AH ili ESP• Da se primene oba, moraju se
kombinovati SA iz sigurnosnih grupa (security bundle)
• Ukupno 4 osnovna slučaja
Kombinovanje sigurnosnih asocijacija
IKE/ISAKMP
• IKEv1 – RFC 2409• ISAKMP – RFC 2407, 2408• IKEv2 – RFC 4306 (obsoletes 2407, 2408, 2409)• IKE je hibridni protokol koji je nastao iz Oakley i
Skeme mehanizma za razmenu ključeva i koristi Internet Security Association and Key Management Protocol (ISAKMP) okvir kao mehanizam za razmenu poruka
• Oakley i Skeme mehanizmi su zasnovani na DH razmeni ključeva
IKE
• Osnovni Diffie-Hellman mehanizam ne pruža autentikaciju učesnika u razmeni ključeva.
• Nedostatak autentikacije omogućava Man-in-the-middle napade.
• Autentikacija se ostvaruje na različite načine: – unapred razmenjenim ključevima– digitalnim potpisima – Sertifikatima
• U IKE protokol su uključene i druge zaštite od napada
• PFS – Perfect Forward Secrecy
IKE mehanizam
• IKE razmena ključa se sastoji od dve faze:– Main mode– Quick mode
• U Main mode fazi se dobija ključ koji služi za zaštitu IKE saobraćaja (ISAKMP SA)
• U Quick mode fazi se dobija ključ koji služi za zaštitu korisničkog saobraćaja (IPsec SA)
IKEv1 sa unapred razmenjenim ključevima
• Main mode
• Quick mode
IKEv2 – RFC 4306, RFC 4718• Jednostavniji i brži
– Manje poruka, manje vrsta razmena– Pogodan za velike VPN mreže
• Stabilniji• Bolja reakcija na neke vrste DoS napada• Nije kompatibilan sa IKEv1• Uključen mehanizam NAT traversal• Uključen mehanizam provere rada tunela• Jedna implementacija:
https://github.com/OpenIKEv2
IKEv2Initial Exchange (Phase 1)
Initiator Responder
----------- -----------
HDR, SAi1, KEi, Ni -->
<-- HDR, SAr1, KEr, Nr, [CERTREQ]
HDR, SK {IDi, [CERT,] [CERTREQ,] [IDr,]
AUTH, SAi2, TSi, TSr} -->
<-- HDR, SK {IDr, [CERT,] AUTH,
SAr2, TSi, TSr}
Create CHILD SA (Phase 2)
Initiator Responder
----------- -----------
HDR, SK {[N], SA, Ni, [KEi],
[TSi, TSr]} -->
<-- HDR, SK {SA, Nr, [KEr],
[TSi, TSr]}