New Varnost v IP VPN omrežjih z uporabo tehnologije IPseclms.uni-mb.si/vitel/14delavnica/predstavitve/ppt-robert... · 2003. 6. 5. · ZgošZgoščevalne (hash) funkcijeevalne (hash)

Brdo pri Kranju, 19. in 20. maj 2003 1/22

Varnost v IP VPN omrežjih z uporabo tehnologije IPsec

mag. Robert [email protected]

Iskra TransmissionStegne 11, Ljubljana

Varnostne rešitve in storitve


(Ne)varnost v IP omrežjih(Ne)varnost v IP omrežjih

Lastnosti IP tehnologijeRobustnostPreizkušenostRazširjenostUniverzalni medij modernih komunikacij

Vrste možnih napadov v IP omrežjihZamenjava naslova (spoofing): napadalec spremeni svoj izvorni IP

naslov in se napadenemu sistemu predstavi z naslovom, ki mu sistem zaupa

Prisluškovanje (sniffing): napadalec prisluškuje komunikaciji med dvema sistemoma

Ugrabitev seje (session hijacking): napadalec uporabi oba tipa napada in prevzame že vzpostavljeno komunikacisjko sejo med končnima sistemoma

Preprečitev storitve (Denial of Service): več različnih metod, napadalec pošilja veliko količino prometa na IP naslov napadene naprave, kar preprečuje normalno delovanje


Navidezna zasebna omrežja (IP VPN)Navidezna zasebna omrežja (IP VPN)

Centrala

Stranke,Dobavitelji, ...

IzpostaveMobilniuporabnik

InternetIP VPN omrežje

Intranet Extranet

klasično internet omrežje zaradi varnostnih lukenj ni primerno za poslovno uporabo

zadostiti je potrebno strogim merilom glede varnostizahteve za IP VPN: zanesljivost, varnost, kvaliteta prenosa, upravljanje


Zaščita podatkov v IPsec VPN omrežjihZaščita podatkov v IPsec VPN omrežjih

enkripcija: ESP – Encapsulation Security Payload, 3DES enkripcijaavtentikacija: AH – IP Authentication Headerintegriteta: zgoščevalne funkcije MD5, SHA-1

Avtentikacija

Integriteta podatkov

Enkripcija


Delovanje IPsecDelovanje IPsec

IKEDiffie Hellman

RSA

IP VPN omrežje

IPSec IPSec

Certificate AuthorityX.509Public Key

InfrastructureIP VPN - varnost

Uporabnik/PCVPN CPE naprava

Uporabnik/PCVPN CPE naprava

DES3DES

DES3DES


Lastnosti IPsec VPN omrežijLastnosti IPsec VPN omrežij

vzpostavitev IPsec tunela preko obstoječe IP infrastrukture (omrežja)varnostni protokol ESP – Encapsulation Security Payloadvarnostni protokol AH – IP Authentication Headeravtentikacija tunela, uporaba zgoščevalnih funkcij MD5, SHA-13DES enkripcija IP prometaupravljanje s ključi IKE (Internet Key Exchange)možna uporaba PKI (Public Key Infrastructure)transportni in tunelirni način prenosamožna uporaba zasebnega IP naslovnega prostoracentralno upravljanje, naprave so pri strankidodatna varnost s požarno pregradomožnost preusmerjanja prometa na sistem za odstranjevanje virusov


Gradniki tehnologije IPsecGradniki tehnologije IPsec

ArhitekturaArhitektura

Protokol ESPProtokol ESP Protokol AHProtokol AH

ŠifrirnialgoritmiŠifrirni

algoritmi

Domena interpretacije

Domena interpretacije

UpravljanjeS ključi

UpravljanjeS ključi

MD5, SHA, DES

DES, 3 DES, IDEA, 3 IDEA,

CAST, BLOWFISH,RC4, RC5

IKE

Avtentikacijskialgoritmi

Avtentikacijskialgoritmi


Vrste IPsec tunelovVrste IPsec tunelov

med dvema varnostnima prehodoma (security gateway) – tunelirni načinmed dvema računalniškima sistemoma (host) – transportni načinkombinacija transportnega in tunelirnega načina, gnezdenje tunelov

VPN Lokacija B

računalniški sistem (host) B

Varnostni prehod B

VPN Lokacija A

računalniški sistem (host) A

Varnostni prehod A

Internet omrežje

Internet omrežje

Internet omrežje

Internet omrežje

IPsec tunel


Varnostna zveza (Security Association)Varnostna zveza (Security Association)

enosmerna povezava (dvosmerni promet zahteva dve zvezi)varnost zagotovljena z ESP ali AH ali z obemadefinira varnostne algoritme in upravljanje s ključitrojček: SPI (Security Parameter Index), ponorni IP naslov, protokol (AH, ESP)

Varnostna zvezaInternet

Varnostni prehod

Gostitelj

Gostitelj

ESP TovorOstale IP glaveIP glava

Nekriptirano Kriptirano

Varnostni prehod

Transportni način


Varnostna zveza (Security Association)Varnostna zveza (Security Association)

Varnostna zvezaInternet

Varnostni prehod Varnostni prehod

Gostitelj

Gostitelj

TovorOriginalna glava IPESPNova glava IP

Nekriptirano Kriptirano

Tunelirni način

med dvema varnostnima prehodomatransparentno za končne uporabnike


Authentication Header (AH)Authentication Header (AH)

Različne dolžine (glede na uporabljeni avtentikacijski protokol)

Security Parameters Index

AH Višji protokoli (npr. UDP)

Naslednja glava RezerviranoDolžina

Avtentikacijski podatki (različne dolžine)

Glava IPv4

32 bitov

avtentikacija izvoraintegriteta podatkovpreprečevanje ponovitve (anti-replay)ni šifriranja podatkov


Zgoščevalne (hash) funkcijeZgoščevalne (hash) funkcije

poljubno dolg niz znakov preslikajo v blok konstantne dolžine (prstni odtis)nemogoče je najti dve različni sporočili, ki bi ju preslikal v enak blokisto sporočilo vedno preslika v enak blokiz zgostitvenega bloka ni mogoče restavrirati sporočila (enosmerne

zgoščevalne funkcije)vsaka sprememba v sporočilu povzroči spremembo zgostitvenega blokazagotavljajo integriteto podatkovprimeri funkcij: MD5, SHA-1

Zgoščevalni algoritem

D5 F3 21 67 89 90 CC B7 D8

Pozdravljeni na Brdu


D5 F3 21 67 89 90 CC B7 D8


D5 F3 21 67 89 90 CC B7 D8

Zgoščevalni algoritem



Encapsulating Security Payload (ESP)Encapsulating Security Payload (ESP)

šifriranje podatkovmožna tudi avtentikacija

Security Parameters Index

Podatki ESP (različne dolžine)

32 bitov

Različne dolžine (glede na uporabljeni šifrirni algoritem)

ESP TovorOstale glave IPGlava IP

Nešifirirano Šifirirano


Upravljanje s ključiUpravljanje s ključi

Slabosti ročnega upravljanja:za zamenjavo ključev je potrebno posredovanje operaterjaročna menjava ključev se običajno vrši redkeje, zato ima napadalec več

časa za razbitje ključa in dešifriranje podatkovvečja možnost napake pri konfiguraciji, ker mora biti enak ključ nastavljen

na obeh končnih točkah povezavenepreglednost pri večjih omrežjih (kvadratična odvisnost)manj razširljiva in prilagodljiva rešitev


IKE – Internet Key ExchangeIKE – Internet Key Exchange

IETF je izbrala IKE (RFC 2409) kot standardni način izmenjave parametrov za vzpostavitev varnostnih zvez

Temelji na protokolih Oakley in ISAKMPKomunikacija preko UDPSamodejna izmenjava in obnavljanje ključevIPsec omogoča procesiranje na nivoju paketa

Delovanje:faza 1 (Main mode, Aggressive mode)

dogovor o nizu varnostnih protokolov v okviru faze 1izmenjava Diffie-Hellman: material za tvorjenje ključevavtentikacija: PKI (digitalni certifikati), prednastavljeni ključi

faza 2 (Quick mode)dogovor o nizu varnostnih protokolov za varnostno zvezovzpostavitev varnostne zveze


Izmenjava Diffie-HellmanIzmenjava Diffie-Hellman

Javne vrednosti n = 997 g= 2

JanezMetkaMetka izbere skrito vrednostx = 11

Janez izbere skrito vrednosty = 13

Metka izračuna X = g x mod nX = 211 mod 997 = 54

Janez izračuna Y = g y mod nY = 2 13 mod 997 = 216

Metka pošlje Janezu X = 54

Janez pošlje Metki Y = 216

Metka izračunaK = Y x mod n

K = 216 11 mod 997 = 113

Janez izračunaK’ = X y mod nK ‘ = 54 13 mod 997 = 113


AvtentikacijaAvtentikacija

prednastavljeni ključi (pre-shared key)digitalni certifikati, PKI (Public Key Infrastructure)mnogo proizvajalcev programske opreme PKI nudi podporo tudi za IPsecdigitalni certifikat je dokument, ki potrjuje povezavo med javnim ključem in

osebo oziroma strežnikompotrdilo vsebuje javni ključ in informacijo o imetnikupotrdilo podpiše oseba ali institucija, ki ji zaupamosrediščni del predstavlja overitelj javnih ključev (Certificate Authority)


Aplikacije IPsec VPNAplikacije IPsec VPN

Povezava dislociranih enot poslovnega sistema – razširjeno intranet omrežjeVaren dostop do internetaPovezovanje poslovnih partnerjev (dobavitelji, stranke) – extranet omrežjanomadski dostop do informacijskih virov poslovnega sistema


Povezava dislociranih enot poslovnega sistemaPovezava dislociranih enot poslovnega sistema

dostop do ponudnika preko ethernet, ADSL, brezžična zvezadodatna zaščita s požarno pregradouporabljena javna IP infrastruktura

varnostni prehod

strežniki

IP hrbtenično omrežje ponudnika storitev

varnostni prehod

Poslovalnica

Varnostni prehod

Regijska enota

Intranet

Radius

IPSec tunnel

ADSL, ethernet,brezžična zveza

IPSec tunel

ethernet

Centralna lokacija poslovnega sistema

požarna pregrada

ADSL, ethernet,brezžična zveza


Varen dostop do internetaVaren dostop do interneta

dostop do interneta s centralne lokacijeuporaba zasebnega IP naslovnega prostorapreslikava IP naslovov z uporabo NATzaščita s požarno pregrado

Internet

yahoo.com

Dostop do ponudnikaADSL, ethernet

Centralna lokacijaposlovnega sistema

Dostop do ponudnikaADSL, ethernet

Poslovalnica

strežniki ponudnika

NAT

IPSec tunel

Javni IP dostop

NAT Preslikava IP naslovov (NAT)

požarni zid

varnostni prehod

IP hrbtenično mrežjeponudnika storitev

Internetni strežniki

Varnostni prehod

Centralno upravljanje IPsec VPN

DNS

DHCP


Extranet omrežjaExtranet omrežja

Internet

IPSecCPE

Partner/dobaviteljposlovni sistem B

B2BAplikacija

požarna pregrada

Poslovni sistem Acentralna lokacija

IPSec tunel IP hrbtenično omrežje ponudnika

varnostni prehod

nadzorovan in zaščiten dostop poslovnih partnerjev do informacijskih virov PSvarnostna politika glede na identiteto partnerjavarna izolacija extranet omrežij različnih partnerjev


Nomadski dostopNomadski dostop

VPN 1

VPN

V.90

VPN 1

Podjetje

IP VPN omrežjeRAS

Radius

ISDN

Internet

VPN CPE

Radius/LDAPAAA

1: vzpostavitev V.90 ali ISDN povezave2: Avtentikacija na Radius strežniku pri operaterju3: Dodelitev IP naslova, prehodov, DNS in WINS strežnikov4: Avtentikacija uporabnika na IPsec VPN CPE napravi v podjetju5: vzpostavitev varne IPSEC povezave med klientom in VPN CPE napravo

IPsec

IPsec tunel

IP operater

Documents

New Varnost v IP VPN omrežjih z uporabo tehnologije IPseclms.uni-mb.si/vitel/14delavnica/predstavitve/ppt-robert... · 2003. 6. 5. · ZgošZgoščevalne (hash) funkcijeevalne (hash)