Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Brdo pri Kranju, 19. in 20. maj 2003 1/22
Varnost v IP VPN omrežjih z uporabo tehnologije IPsec
mag. Robert [email protected]
Iskra TransmissionStegne 11, Ljubljana
Varnostne rešitve in storitve
Brdo pri Kranju, 19. in 20. maj 2003 2/22
(Ne)varnost v IP omrežjih(Ne)varnost v IP omrežjih
Lastnosti IP tehnologijeRobustnostPreizkušenostRazširjenostUniverzalni medij modernih komunikacij
Vrste možnih napadov v IP omrežjihZamenjava naslova (spoofing): napadalec spremeni svoj izvorni IP
naslov in se napadenemu sistemu predstavi z naslovom, ki mu sistem zaupa
Prisluškovanje (sniffing): napadalec prisluškuje komunikaciji med dvema sistemoma
Ugrabitev seje (session hijacking): napadalec uporabi oba tipa napada in prevzame že vzpostavljeno komunikacisjko sejo med končnima sistemoma
Preprečitev storitve (Denial of Service): več različnih metod, napadalec pošilja veliko količino prometa na IP naslov napadene naprave, kar preprečuje normalno delovanje
Brdo pri Kranju, 19. in 20. maj 2003 3/22
Navidezna zasebna omrežja (IP VPN)Navidezna zasebna omrežja (IP VPN)
Centrala
Stranke,Dobavitelji, ...
IzpostaveMobilniuporabnik
InternetIP VPN omrežje
Intranet Extranet
klasično internet omrežje zaradi varnostnih lukenj ni primerno za poslovno uporabo
zadostiti je potrebno strogim merilom glede varnostizahteve za IP VPN: zanesljivost, varnost, kvaliteta prenosa, upravljanje
Brdo pri Kranju, 19. in 20. maj 2003 4/22
Zaščita podatkov v IPsec VPN omrežjihZaščita podatkov v IPsec VPN omrežjih
enkripcija: ESP – Encapsulation Security Payload, 3DES enkripcijaavtentikacija: AH – IP Authentication Headerintegriteta: zgoščevalne funkcije MD5, SHA-1
Avtentikacija
Integriteta podatkov
Enkripcija
Brdo pri Kranju, 19. in 20. maj 2003 5/22
Delovanje IPsecDelovanje IPsec
IKEDiffie Hellman
RSA
IP VPN omrežje
IPSec IPSec
Certificate AuthorityX.509Public Key
InfrastructureIP VPN - varnost
Uporabnik/PCVPN CPE naprava
Uporabnik/PCVPN CPE naprava
DES3DES
DES3DES
Brdo pri Kranju, 19. in 20. maj 2003 6/22
Lastnosti IPsec VPN omrežijLastnosti IPsec VPN omrežij
vzpostavitev IPsec tunela preko obstoječe IP infrastrukture (omrežja)varnostni protokol ESP – Encapsulation Security Payloadvarnostni protokol AH – IP Authentication Headeravtentikacija tunela, uporaba zgoščevalnih funkcij MD5, SHA-13DES enkripcija IP prometaupravljanje s ključi IKE (Internet Key Exchange)možna uporaba PKI (Public Key Infrastructure)transportni in tunelirni način prenosamožna uporaba zasebnega IP naslovnega prostoracentralno upravljanje, naprave so pri strankidodatna varnost s požarno pregradomožnost preusmerjanja prometa na sistem za odstranjevanje virusov
Brdo pri Kranju, 19. in 20. maj 2003 7/22
Gradniki tehnologije IPsecGradniki tehnologije IPsec
ArhitekturaArhitektura
Protokol ESPProtokol ESP Protokol AHProtokol AH
ŠifrirnialgoritmiŠifrirni
algoritmi
Domena interpretacije
Domena interpretacije
UpravljanjeS ključi
UpravljanjeS ključi
MD5, SHA, DES
DES, 3 DES, IDEA, 3 IDEA,
CAST, BLOWFISH,RC4, RC5
IKE
Avtentikacijskialgoritmi
Avtentikacijskialgoritmi
Brdo pri Kranju, 19. in 20. maj 2003 8/22
Vrste IPsec tunelovVrste IPsec tunelov
med dvema varnostnima prehodoma (security gateway) – tunelirni načinmed dvema računalniškima sistemoma (host) – transportni načinkombinacija transportnega in tunelirnega načina, gnezdenje tunelov
VPN Lokacija B
računalniški sistem (host) B
Varnostni prehod B
VPN Lokacija A
računalniški sistem (host) A
Varnostni prehod A
Internet omrežje
Internet omrežje
Internet omrežje
Internet omrežje
IPsec tunel
Brdo pri Kranju, 19. in 20. maj 2003 9/22
Varnostna zveza (Security Association)Varnostna zveza (Security Association)
enosmerna povezava (dvosmerni promet zahteva dve zvezi)varnost zagotovljena z ESP ali AH ali z obemadefinira varnostne algoritme in upravljanje s ključitrojček: SPI (Security Parameter Index), ponorni IP naslov, protokol (AH, ESP)
Varnostna zvezaInternet
Varnostni prehod
Gostitelj
Gostitelj
ESP TovorOstale IP glaveIP glava
Nekriptirano Kriptirano
Varnostni prehod
Transportni način
Brdo pri Kranju, 19. in 20. maj 2003 10/22
Varnostna zveza (Security Association)Varnostna zveza (Security Association)
Varnostna zvezaInternet
Varnostni prehod Varnostni prehod
Gostitelj
Gostitelj
TovorOriginalna glava IPESPNova glava IP
Nekriptirano Kriptirano
Tunelirni način
med dvema varnostnima prehodomatransparentno za končne uporabnike
Brdo pri Kranju, 19. in 20. maj 2003 11/22
Authentication Header (AH)Authentication Header (AH)
Različne dolžine (glede na uporabljeni avtentikacijski protokol)
Security Parameters Index
AH Višji protokoli (npr. UDP)
Naslednja glava RezerviranoDolžina
Avtentikacijski podatki (različne dolžine)
Glava IPv4
32 bitov
avtentikacija izvoraintegriteta podatkovpreprečevanje ponovitve (anti-replay)ni šifriranja podatkov
Brdo pri Kranju, 19. in 20. maj 2003 12/22
Zgoščevalne (hash) funkcijeZgoščevalne (hash) funkcije
poljubno dolg niz znakov preslikajo v blok konstantne dolžine (prstni odtis)nemogoče je najti dve različni sporočili, ki bi ju preslikal v enak blokisto sporočilo vedno preslika v enak blokiz zgostitvenega bloka ni mogoče restavrirati sporočila (enosmerne
zgoščevalne funkcije)vsaka sprememba v sporočilu povzroči spremembo zgostitvenega blokazagotavljajo integriteto podatkovprimeri funkcij: MD5, SHA-1
Zgoščevalni algoritem
D5 F3 21 67 89 90 CC B7 D8
Pozdravljeni na Brdu
Pozdravljeni na Brdu
D5 F3 21 67 89 90 CC B7 D8
Pozdravljeni na Brdu
D5 F3 21 67 89 90 CC B7 D8
Zgoščevalni algoritem
Pozdravljeni na Brdu
Brdo pri Kranju, 19. in 20. maj 2003 13/22
Encapsulating Security Payload (ESP)Encapsulating Security Payload (ESP)
šifriranje podatkovmožna tudi avtentikacija
Security Parameters Index
Podatki ESP (različne dolžine)
32 bitov
Različne dolžine (glede na uporabljeni šifrirni algoritem)
ESP TovorOstale glave IPGlava IP
Nešifirirano Šifirirano
Brdo pri Kranju, 19. in 20. maj 2003 14/22
Upravljanje s ključiUpravljanje s ključi
Slabosti ročnega upravljanja:za zamenjavo ključev je potrebno posredovanje operaterjaročna menjava ključev se običajno vrši redkeje, zato ima napadalec več
časa za razbitje ključa in dešifriranje podatkovvečja možnost napake pri konfiguraciji, ker mora biti enak ključ nastavljen
na obeh končnih točkah povezavenepreglednost pri večjih omrežjih (kvadratična odvisnost)manj razširljiva in prilagodljiva rešitev
Brdo pri Kranju, 19. in 20. maj 2003 15/22
IKE – Internet Key ExchangeIKE – Internet Key Exchange
IETF je izbrala IKE (RFC 2409) kot standardni način izmenjave parametrov za vzpostavitev varnostnih zvez
Temelji na protokolih Oakley in ISAKMPKomunikacija preko UDPSamodejna izmenjava in obnavljanje ključevIPsec omogoča procesiranje na nivoju paketa
Delovanje:faza 1 (Main mode, Aggressive mode)
dogovor o nizu varnostnih protokolov v okviru faze 1izmenjava Diffie-Hellman: material za tvorjenje ključevavtentikacija: PKI (digitalni certifikati), prednastavljeni ključi
faza 2 (Quick mode)dogovor o nizu varnostnih protokolov za varnostno zvezovzpostavitev varnostne zveze
Brdo pri Kranju, 19. in 20. maj 2003 16/22
Izmenjava Diffie-HellmanIzmenjava Diffie-Hellman
Javne vrednosti n = 997 g= 2
JanezMetkaMetka izbere skrito vrednostx = 11
Janez izbere skrito vrednosty = 13
Metka izračuna X = g x mod nX = 211 mod 997 = 54
Janez izračuna Y = g y mod nY = 2 13 mod 997 = 216
Metka pošlje Janezu X = 54
Janez pošlje Metki Y = 216
Metka izračunaK = Y x mod n
K = 216 11 mod 997 = 113
Janez izračunaK’ = X y mod nK ‘ = 54 13 mod 997 = 113
Brdo pri Kranju, 19. in 20. maj 2003 17/22
AvtentikacijaAvtentikacija
prednastavljeni ključi (pre-shared key)digitalni certifikati, PKI (Public Key Infrastructure)mnogo proizvajalcev programske opreme PKI nudi podporo tudi za IPsecdigitalni certifikat je dokument, ki potrjuje povezavo med javnim ključem in
osebo oziroma strežnikompotrdilo vsebuje javni ključ in informacijo o imetnikupotrdilo podpiše oseba ali institucija, ki ji zaupamosrediščni del predstavlja overitelj javnih ključev (Certificate Authority)
Brdo pri Kranju, 19. in 20. maj 2003 18/22
Aplikacije IPsec VPNAplikacije IPsec VPN
Povezava dislociranih enot poslovnega sistema – razširjeno intranet omrežjeVaren dostop do internetaPovezovanje poslovnih partnerjev (dobavitelji, stranke) – extranet omrežjanomadski dostop do informacijskih virov poslovnega sistema
Brdo pri Kranju, 19. in 20. maj 2003 19/22
Povezava dislociranih enot poslovnega sistemaPovezava dislociranih enot poslovnega sistema
dostop do ponudnika preko ethernet, ADSL, brezžična zvezadodatna zaščita s požarno pregradouporabljena javna IP infrastruktura
varnostni prehod
strežniki
IP hrbtenično omrežje ponudnika storitev
varnostni prehod
Poslovalnica
Varnostni prehod
Regijska enota
Intranet
Radius
IPSec tunnel
ADSL, ethernet,brezžična zveza
IPSec tunel
ethernet
Centralna lokacija poslovnega sistema
požarna pregrada
ADSL, ethernet,brezžična zveza
Brdo pri Kranju, 19. in 20. maj 2003 20/22
Varen dostop do internetaVaren dostop do interneta
dostop do interneta s centralne lokacijeuporaba zasebnega IP naslovnega prostorapreslikava IP naslovov z uporabo NATzaščita s požarno pregrado
Internet
yahoo.com
Dostop do ponudnikaADSL, ethernet
Centralna lokacijaposlovnega sistema
Dostop do ponudnikaADSL, ethernet
Poslovalnica
strežniki ponudnika
NAT
IPSec tunel
Javni IP dostop
NAT Preslikava IP naslovov (NAT)
požarni zid
varnostni prehod
IP hrbtenično mrežjeponudnika storitev
Internetni strežniki
Varnostni prehod
Centralno upravljanje IPsec VPN
DNS
DHCP
Brdo pri Kranju, 19. in 20. maj 2003 21/22
Extranet omrežjaExtranet omrežja
Internet
IPSecCPE
Partner/dobaviteljposlovni sistem B
B2BAplikacija
požarna pregrada
Poslovni sistem Acentralna lokacija
IPSec tunel IP hrbtenično omrežje ponudnika
varnostni prehod
nadzorovan in zaščiten dostop poslovnih partnerjev do informacijskih virov PSvarnostna politika glede na identiteto partnerjavarna izolacija extranet omrežij različnih partnerjev
Brdo pri Kranju, 19. in 20. maj 2003 22/22
Nomadski dostopNomadski dostop
VPN 1
VPN
V.90
VPN 1
Podjetje
IP VPN omrežjeRAS
Radius
ISDN
Internet
VPN CPE
Radius/LDAPAAA
1: vzpostavitev V.90 ali ISDN povezave2: Avtentikacija na Radius strežniku pri operaterju3: Dodelitev IP naslova, prehodov, DNS in WINS strežnikov4: Avtentikacija uporabnika na IPsec VPN CPE napravi v podjetju5: vzpostavitev varne IPSEC povezave med klientom in VPN CPE napravo
IPsec
IPsec tunel
IP operater