virtual private network alapok titkosítás, ipsec
DESCRIPTION
Virtual Private Network alapok titkosítás, IPsec. Kovács József [email protected]. Miről lesz szó?. Néhány gondolat a hálózat- biztonságról VPN – virtuális magánhálózatok Tanusítvány IPsec. Hálózatbiztonság – egy „külön szakma”. LDAP. PKI. IKE. ISAKMP-Oakley. Digital Certificates. - PowerPoint PPT PresentationTRANSCRIPT
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
1/38
Virtual Private Network alapok
titkosítás, IPsec
Kovács József
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
2/38
Miről lesz szó?
• Néhány gondolat a hálózat- biztonságról
• VPN – virtuális magánhálózatok
• Tanusítvány
• IPsec
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
3/38
Hálózatbiztonság – egy „külön szakma”
PAPCHAP
SKIP3-DES
PPTP
L2F
L2TP
SSL
Extranet
Firewall
ISAKMP-Oakley
KEYs
CypherText
Digital Certificates
SHA-1
MD-5
IKELDAPPKI
QoS
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
4/38
A hálózatbiztonság kiépítésének általános modellje
Source: Axent / SNCI
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
5/38
Néhány eszköz a hálózatbiztonság megteremtésére
• Tűzfalak
• VPN rendszerek
• Vírusvédelem
• Átfogó hálózat felügyelet (menedzsment)
• Titkosítás
• Hozzáférési kontroll
• Azonosítás (Autentikáció)
• Fizikai védelem
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
6/38
Telecommuters & Remote Users
Branch OfficesWeb Site
Corporate HeadquartersCustomers &Consultants
Mobile Users& Field Sales
FRAME RELAYINTERNET
DEDICATED IPNETWORK
Suppliers
Mi az a VPN?
VPN – Virtual Private NetworkVirtuális magánhálózat
VPN – Virtual Private NetworkVirtuális magánhálózat
Biztonságos magánhálózati kialakításnyilvános hálózaton keresztül
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
7/38
A virtuális magánhálózat lehetővé teszi:
• a szervezetek biztonságos kommunikációját a telephelyek, helyszínek között (Site to Site VPN)
• távoli felhasználók biztonságos kommunikációját a szervezet hálózatával (Remote Access VPN)
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
8/38
Egy általános VPN hálózat felépítése
SystemAdministrators
VPNmanager Console
VSU-2000
Üzleti partner
T1
T3
Távolifelhasználók
Vállalati kp.
Internet
ISP
VSU-7500 Router
VPNmanagerServer
Vállalatialkalmazások
Router Cable, DSL,Dial-up, or ISDN
VPNremoteClient Software
VSU-7500
SyslogServer
Szolgáltatói hálózat
T1Router
VSU-100
Távoli iroda
Extranet
Intranet
ISP
Távoli elérés
Alkalmazás szolgáltatás
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
9/38
Tanúsítvány
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
10/38
Tanúsítványok
• A kérdés: kiben lehet megbízni, amikor nyílt kulcsú
titkosítást használsz?
• A válasz: bárkiben megbízhatsz, akiben egy harmadik
mindenki által elfogadott fél megbízik
• Ez a „bizalom átadás” a tanúsítvány
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
11/38
Mi a tanúsítvány?
• A tanúsítvány összerendeli a nevet (IP címet ebben a környezetben)és a publikus kulcsot The binding is done by digital signature.
• A tanúsítványt a CA(certificate authority) állítja ki.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
12/38
Tanúsítvány
• Minden VPN-nek kell CA.
• A CA mutatja be a tanúsítványokat a VPN eszközöknek.
• A tanúsítvány válasz hitelesített egy hitelesítő kulccsal.
• Minden tanúsítványban van egy lejárati dátum beleépítve.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
13/38
A tanúsítványban lévő információk
• A tárgy azonosítója.
• A kiállító azonosítója.
• A tárgy publikus kulcsa.
• Lejárati idő.
• CRL (Certificate Revocation Lists).
• Policy, megszorítások (opcionális).
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
14/38
X.509
• X.509 nemzetközileg elfogadott tanúsítvány szabvány.
• Szabott helye van a CA struktúrában.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
15/38
Titkosítás
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
16/38
Public Key Algorithm
Private Key
Public Keys
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
17/38
Diffie Hellman
A Private Key B Private Key
A Public KeyB Public Key
Symmetric Key
+ +
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
18/38
Symmetric Vs.Public key cryptography
• Szimetrikus titkosítás (DES / 3DES).– A kérdés: a kulcsok kezelése
EncryptionPlain
DecryptionCipher PlainA B
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
19/38
Symmetric Vs.Public key cryptography
• Public key cryptography (DH / RSA).– kérdés : lassú, bizalom
EncryptionPlain
DecryptionCipher PlainA B
Public key Private key
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
20/38
Digitális aláírás algoritmusa
• Public key cryptography:– private key használata az aláíráshoz.
– public key használata az azonosításhoz.
– példa : RSA.
• Symmetric cryptography:– Ugyanazon secret key használata az aláíráshoz és az
azonosításhoz is.
– példa : DES-MAC.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
21/38
IPSEC
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
22/38
IPSEC
• IPSEC egy protokoll a IP csomagok titkosításához és azonosításához.
• Minden egyes IP csomagot egy IPSEC csomagba csomagolják.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
23/38
Tunnel mode
• A csomagokat a security gateway-ek becsomagolják IPSEC-be, továbbítják a távoli security gateway felé, amely kicsomagolja és kézbesíti a célcímnek.
• A két security gateways egy ‘tunnel’-t feszít ki.
• A két host-nak nincs tudomása az egész titkosítási folyamatról.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
24/38
IPsec
• IETF által létrehozott• Cél: Integritás és bizalom a hálózati rétegben• Protokollok
– Encapsulation (AH, ESP)– Automatic key management
(IKE - ISAKMP/Oakley)
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
25/38
A tunnel-ezett csomagok
MAC
IP
TCP
Application
UDP
IPSEC
IP
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
26/38
Tunnel Mode
Server
ServerHUBHUB
IP
TCP
Application
UDP
IP
TCP
Application
UDP
Host HostIPsec Gateway
IP
AH/ESP
ProtectedData
IP
AH/ESP
ProtectedData
Protected Traffic
Clear Headers
IPsec gateway
InternetRouter Router
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
27/38
ESP és AH
• Az ESP (Encapsulation Protocol) az IPSEC protokoll-családnak a csomagok titkosításához és azonosításhoz használatos protokollja.
• Az AH (Authentication Header) egy másik, csak azonosításhoz használható protokoll.
• Az azonosítás egyszerű, de nem azonos a két esetben.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
28/38
Replay counter
• A replay counter arra való hogy védekezzünk az újraadás ellen.
• Minden csomag kap egy egyedi ID-t. Az ID egy számláló, amely minden csomagnál csökken.
• Ha egy csomag kétszer érkezik meg, vagy nem megfelelő sorrendben, akkor az egy esetleges betörés jele.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
29/38
IV - Initial vector
• DES-CBC titkosítási algoritmusban minden titkosított csomagot blokkonként (8 bytes) egy előtag előzi meg.
• Az első blokk IV-n alapul.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
30/38
Security Association (SA)
• Az SA-t a két kommunikáló fél osztja meg egymás között.
• Az SPI (Security Parameter Index) egy szám, amely indexként szolgál az SA számára.
• Minden SA-nak két SPI-je van: incoming & outgoing.
• Az SPI-t a vevő oldal állapítja meg.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
31/38
Kulcs Menedzsment
• Ahhoz, hogy az SA kiépüljön, szükséges, hogy a két fél minden biztonsági paramétert egyeztessen, amibe beletartozik a a kulcsok kicserélése is.
• IKE (Internet Key Exchange) egy protokoll a kulcs menedzsment számára.
• Leírja, hogy hogyan lehet SA-t létesíteni.
• IKE az ISAKMP & OAKLEY protokollokon alapul, kombinálva az IPSEC DOI-val.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
32/38
IKE Main mode
• Az alap metódus készít egy SA-t, amelyet később a Quick Mode üzenetek védelméhez fog használni. A Quick mode egy SA-t generál, amelyet az IPsec fog használni.
• A generált SA-t ISAKMP SA-nak hívják.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
33/38
IKE Main Mode (folyt.)
• Main Mode három részre bontható (hat üzenetváltás) :– SA ajánlás és reagálás – az adó és a vevő megegyezik a ISAKMP
SA paraméterekben.
– KE ajánlás és reagálás- DH public kulcsok cseréje.
– ID ajánlás és reagálás- azonosító adatok cseréje.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
34/38
IKE Main Mode
SA 1
2
3
4
5
6
Header
Header
Header
Header
Header
Header
SA
Key
Key
Nonce
Nonce
1
2
ID
ID
1
2
Sig
2Sig
Cert.
Cert.
Encrypted
Encrypted
Initiator Responder
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
35/38
IKE Quick Mode
• Quick Mode három üzenetből áll:– SA proposal + nonce + ID.
– SA response + nonce + hash + ID.
– Acknowledge + hash.
• The Quick Mode üzenetek a Main mode-ban létrehozott ISAKMP SA által védettek.
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
36/38
IKE Quick Mode
1
2
3Header
Initiator Responder
Hash-3
HeaderHash-2 SANonce-2Key ID
HeaderHash-2SANonce-2
KeyID
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
37/38
A VPN hálózatok előnyei
Költségmegtakarítás:• 20-40% site to site VPN-ek esetében• 60-80% remote access VPN-ek esetében
Rugalmasság:• Új telephely, új felhasználó csatlakoztatása rendkívül egyszerű.
Nem kell hozzá más, csak egy Internet csatlakozás, és egy VPN Gateway vagy kliens szoftver
Biztonság:• A VPN hálózatok az alkalmazott technológiáknak, protokolloknak
és szabványoknak köszönhetően fokozott biztonságot élveznek
IP telefónia támogatása:• VPN hálózatok IP telefónia alkalmazása esetében is kiépíthetők
Egyszerű menedzsment
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium
38/38
Köszönöm a figyelmet!