1 / 39

IPsec

IPsec. Prof. dr Mladen Veinovi ć, dipl.ing. IPsec. IPsec ( IP security ) Standard za obezbeđivanje Internet Protokola IPsec je set kriptografskih protokola za obezbeđivanje protoka paketa i razmenu ključeva RFC dokumenta 2401, 2402, 2406

drake-olsen
Télécharger la présentation

IPsec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IPsec Prof. dr Mladen Veinović, dipl.ing.

  2. IPsec • IPsec (IP security) • Standard za obezbeđivanje Internet Protokola • IPsec je set kriptografskih protokola za obezbeđivanje protoka paketa i razmenu ključeva • RFC dokumenta 2401, 2402, 2406 • Šifrovanje se može sprovoditi sve vreme na IP (mrežnom) nivou • Vrši se izbor algoritma • Izbor 0-tog algoritma – šifrovanje sa 00h • Primena simetričnog algoritma

  3. Transport Layer Network Layer Data Link Layer • Mrežni sloj je odgovoran za adresiranjei rutiranje poruke • Određuje se najbolja putanja od računara do računara, sve dok paketi ne stignu do odredišta • Sloj mreže – odgovoran za prosleđivanje paketa sa jednog do drugog kraja mreže • (Sloj veze – prosleđivanje okvira sa jednog kraja žice na drugi) • Mrežni sloj treba da “poznaje” topologiju mreže • izbor putanje • opterećenost usputnih rutera • Mrežni sloj pruža usluge transportnom sloju

  4. Mrežni sloj • Usluge koje mrežni sloj obezbeđuje transportnom treba da imaju sledeće karakteristike: • Usluge treba da su nezavisne od ruterske tehnologije. • Od transportnog sloja treba da suskriveni: broj, vrste rutera i topologija rutera. • Mrežne adrese dostupne transportnom sloju treba da su jedinstveno (uniformno) označene, čak i preko LAN i WAN mreža.

  5. Mrežni sloj • Usluge za transportni sloj: • Bez uspostavljanja direktne veze • Svaki paket se šalje nezavisno od drugog • Nezavisno rutiranje po različitim putevima • Paketi stižu za različito vreme • Svaki paket mora da nosi punu odredišnu adresu • Peket  Datagram  Datagramska podmreža • Sa uspostavom direktne veze • Uspostavljanje direktne veze od izvorišnog do odredišnog rutera pre nego što se počnu slati paketi • Podizanje virtuelne veze(VC - virtual circuit)  Podmreža sa virtualnim kolima

  6. IPsec • IPsec radi sa uspostavljanjem direktne veze • Kroz uspostavljanje direktne veze prenose se bezbednosno kritični parametri (izbor ključa) • Veza kojom se ostvaruje bezbednosno povezivanje • jednosmerna • SA – security association

  7. IPsec • IPsec ima dva dela • ISAKAMP – Internet Security Association and Key Management Protocol • IKE – Internet Key Exchange • Prenos šifrovanih podataka • IPsec se može koristiti u dva režima • Transportni režim • Tunelski režim

  8. IPsec • IKE protokol • IKE protokol tj. protokol za razmenu ključeva razvijen od strane IPSEC radne grupe IETF-a • IKE protokol se ne odnosi samo na distribuiranje ključeva već i na niz drugih parametara kao što je uspostavljanje security associations procedura koje specificiraju • format protokola koji se koristi, • kriptografske algoritme u okviru protokola • algoritme za hešovanje u cilju ostvarivanja bezbedne komunikacije.

  9. IPsec • IKE protokol • Da bi se ostvarila fleksibilnost IKE protokola, u okviru IKE protokola je implementirana • podrška za PKI, • konvencionalne metode šifrovanja i • digitalni potpis • Za razmenu ključa se koristi Diffie-Hellman algoritam

  10. 0 4 8 16 24 31 VERS HLEN SERVICE TIPE TOTAL LENGTH IDENTIFICATION FLAGS FRAGMENT OFFSET TIME TO LIVE PROTOCOL HEADER CHECKSUM SOURCE IP ADDRESS DESTINATION IP ADDRESS IP OPTIONS (IF ANY) PADDING DATA ....... ....... IPsec • Transportni režim rada • IPsec zaglavlje se umeće između IP i TCP zaglavlja • Polje Protocol u IP zaglavlju se menja u “51” i ukazuje da sledi IPsec zaglavlje, a ne TCP zaglavlje

  11. IPsec • Tunelski režim rada • Celokupan IP paket (zajedno sa zaglavljima) kapsulira se u telo novog IP paketa sa potpuno novim zaglavljem • Pogodno ako se tunel ne završava u konačnom odred. • npr. zaštitna barijera (firewall) • Tada računari u LAN-u ne brinu o IPsec-u, sve se radi na firewall-u • onemogućava analizu saobraćaja • Mana: kod tunelskog režima rada se zbog dodatnog zaglavlja znatno povećava dužina paketa

  12. IPsec • Vrste zaglavlja kod IPsec-a • AH – Authentication Header – zaglavlje za proveru identiteta • Provera integriteta • Bezbednost od napada ponavljanjem poruka • Nema šifrovanja • Obezbeđuje autentičnost i integritet poruke ali ne i tajnost • ESP – Encapsulating Security Payload – kapsulirajuće bezbednosno zaglavlje • Šifrovanje podataka • Omogućuje autentičnost, tajnost i integritet poruke

  13. obezbeđeni deo IP zaglavlje AH TCP zaglavlje Koristan teret + dopuna Sledeće zaglavlje Dužina korisnog tereta Rezervisano Indeks brzbednosnih parametara Redni broj Podaci za proveru identiteta (HMAC) 32 bita IPsec • AH u transportnom režimu rada

  14. IPsec • AH u transportnom režimu rada • Sledeće zaglavlje: • Čuva vrednost koju je imalo IP polje Protocol pre nego što je zamenjeno sa “51”. • Najčešće je to “6” – kod za TCP zaglavlje • Dužina korisnog tereta: • Broj 32-bitnih reči AH zaglavlju • Identifikator bezbednosnih parametara: • Ukazuje na zapis u BP kod primaoca • Indeks ključa K, i drugi parametri

  15. IPsec • AH u transportnom režimu rada • Redni broj: Vrši se numeracija svih paketa poslatih SA vezom • Svaki paket dobija drugi broj • Ponovo poslati paket takođe dobija drugi broj ( a redni TCP broj je isti) • Sprečava se napad ponavljanjem poruka • Ako se uspostavi svih 232 rednih brojeva, komunikacija se može nastaviti samo novom SA vezom

  16. IPsec • AH u transportnom režimu rada • HMAC – Hashed Massage Authentication Code • Digitalni potpis korisnog tereta • Kada se SA veza uspostavi, dve strane dogovaraju algoritam za potpisivanje • Potpisivanje je simetričnim algoritmom (zbog brzine) • Potpisuje se heširani sažetak paketa kome je dodat zajednički ključ

  17. IPsec • AH zaglavlje • Ne vrši se šifrovanje podataka • Omogućava proveru integriteta • Provera integriteta pokriva i neka polja IP zaglavlja • ona koja se ne menjaju od jednog do drugog rutera • IP adresa izvorišta je uključena u proveru

  18. IPsec • ESP zaglavlje Transportni režim obezbeđeni deo IP zaglavlje ESP zaglavlje TCP zaglavlje Koristan teret + dopuna HMAC šifrovano Tunelski režim obezbeđeni deo Novo IP zaglavlje ESP zaglavlje Staro IP zaglavlje TCP zaglavlje Koristan teret + dopuna HMAC šifrovano

  19. IPsec • ESP zaglavlje sadrži • Indeks bezbednosnih parametara • Redni broj • Inicijalizacioni vektor • HMAC je na kraju korisnog tereta • Prednost pri hardverskoj realizaciji (HMAC se može računati dok koristan teret prolazi kroz mrežni interfejs)

  20. IPsec • Realizacija na mrežnom nivou • S obzirom da IPsec radi na mrežnom sloju OSI modela njime je mnogo lakše omogućiti transparentnost nego široko rasprostranjenim SSL protokolom. • Korišćenjem IPsec rešenja moguće je zaštititi i TCP i UDP bazirane protokole.

  21. IPsec • Primena • Polazeći od pretpostavke da je lokalna mreža (LAN) bezbedna i da se njome mogu prenositi podaci u izvornom (nešifrovanom tj. otvorenom) obliku, tačke na kojima rešenje treba graditi su gateway interfejsi, koji ujedno predstavljaju i granicu između pouzdane (LAN) i nepouzdane (Internet) mreže

  22. IPsec • Primena rešenja na gateway interfejsu • Postiže se jednostavnost primene kroz svođenje tj. minimizaciju broja računara na kojima je potrebno instalirati komponente rešenja. • Administrator sistema može da određuje u kojim slučajevima će šifrovanje biti korišćeno. Naime, moguće je propuštati saobraćaj koji nije šifrovan, a na osnovu informacija iz zaglavlja paketa vršiti šifrovanje ili dešfrovanje za korisnike koji koriste bezbedan prenosni put. • Ovakav prilaz omogućava veliku fleksibilnost sistema, bez ugrožavanja do tada postojećih komunikacija.

  23. IPsec • Rešenja IPsec-a • Postoji više implementacija IPsec-a (FreeS/WAN, OpenS/WAN, StrongS/WAN...) vezanih za različite operativne sisteme (MS Windows, FreeBSD, NetBSD, OpenBSD, Mac OS X, AIX, Cisco, Linux...). • Implementacija IPsec-a integrisana u kernel Linux operativnog sistema. • Autori ove implementacije, Alexey Kuznetsov i David S. Miller, su svoj rad započeli iz osnova. • Od kraja 2002. godine se IPsec nalazi kao sastavni deo kernela Linux operativnog sistema verzije 2.6.

  24. IPsec • Linux platforma • mogućnost provere izvornog koda, kao i procene bezbednosti celokupnog rešenja • mogućnost prilagođavanja izvornog koda sopstvenim potrebama

  25. IPsec • Razlozi za izbor Linux verzije 2.6: • Dostupnost izvornog koda, • Integrisanost u kernel obezbeđuje visoke performanse kao i mogućnost korišćenja ostalih komponenti kernela (pre svega algoritama za šifrovanje) • Licenca (GPL – General Public Licence) • Izbor distribucije Linux-a: Slackware • stabilnost, standardnost, dobre mrežne osobine

  26. IPsec • Performanse rešenja • implementacija kriptografskih funkcija na gatway interfejsu • očekuje se visoka efikasnost u iskorišćavanju hardverskih resursa • kroz gateway računara prolazi velika količina podataka, a pretpostavka je da veliku većinu, ako ne i sve, treba u što kraćem vremenu šifrovati i proslediti na odredište. • maksimalnu gustinu saobraćaja podataka, koju bi potencijalno trebalo obraditi, najlakše je odrediti preko kapaciteta slabijeg mrežnog linka (pod pretpostavkom da je gateway povezan na dva mrežna linka) na koji je gateway vezan.

  27. IPsec • Performanse rešenja • Tačan odnos potrebne procesorske snage i bitske brzine podataka koje treba štititi, može se odrediti analizom konkretnog algoritma i testiranjem sa realnim tj. očekivanim saobraćajem podataka. • Imajući u vidu visoke performanse Linux operativnog sistema u mrežnom radu, kao i pogodnosti koje nudi implementacija samog IPSec-a i Firewall-a u kernelu, jedino usko grlo može biti sam algoritam. • Kompleksni algoritmi, kakvi se zahtevaju u profesionalnim sisteima, zahtevaju značajno vreme za njihovo izvršavanje

  28. IPsec • Performanse rešenja • Bitan parametar vrednosti rešenja predstavlja i skalabilnost tj. mogućnost povećanja performansi putem dodatnog hardvera. • Povećanje bezbednosti u realizaciji zaštite se može ostvariti realizacijom dodatnog hardvera, na tehnologiji koja omogućuje veliku brzinu izvršavanja kompleksnih algoritama (npr. brzi signal procesori, programabilni hardver - FPGA i sl). • Prednosti ovakvog rešenja odnose se na apsolutno poverenje u realizovane funcije šifrovanja i dešifrovanja, uz rasterećenje procesorskog vremena osnovnog računara (u ovom slučaju gateway). • Na ovakvim hardverskim modulima za šifrovanje (HSM), pored funkcija šifrovanja i dešifrovanja, moguće je realizovati dodatne hardverske generatore slučajnih nizova, obezbediti siguran prostor za čuvanje šifarskih ključeva, implemetirati podršku za prihvat Smart kartica i sl.

  29. IPsec • Bezbednost rešenja • Sistem u stalnom kontaktu sa eksternom, nebezbednom mrežom (npr. Internetom) što znači da je izložen potencijalnim napadima • Posledice ovih napada mogu biti neovlašćen pristup administrativnim funkcijama sistema, otkazivanje rada sistema, krađa ključeva, njihova izmena, brisanje i sl., izmena polisa za šifrovanje podataka, pristup internoj mreži

  30. IPsec • Bezbednost rešenja • Bezbednost sistema zavisi pre svega od pouzdanosti Linux operativnog sistema i IPsec implementacije u njemu ali i od konfiguracije samog kernela i dodatnih softverskih paketa. • Najveća opasnost vezana za Linux OS leži u dostupnosti izbornog koda potencijalnim napadačima. • Ovo u praksi znači da potencijalni napadač analizom izvornog koda samog Linux OS-a i IPsec implementacije u njemu eventualno može pronaći propust koga autori i korisnici nisu svesni i na osnovu tog propusta, ugroziti stabilnost sistema ili njegovo normalno funkcionisanje, ostvariti neovlašćeni pristup i sl.

  31. IPsec • Bezbednost rešenja - predlozi • odstranjivanje svih delova (modula) kernela koji nisu neophodni za funkcionisanje opisanog sistema • namensko korišćenje sistema tj. isključivanje dodatnih funkcionalnosti • pravilno konfigurisanje sistema i povremenu proveru konfiguracije • redovno osvežavanje komponenti sistema po preporukama nadležnih autoriteta • korišćenje sistema koji garantuju nemogućnost modifikacije bilo kog dela sistema bez odgovarajuće provere autentičnosti korisnika • korišćenje odvojenog računarskog sistema na kome bi se čuvali izveštaji o radu sistema i eventualnim napadima na njega

  32. IPsec • Testiranje performansi • Softverska izmena algoritma (vremenski i memorisjki resursi) • Za potrebe eksperimenta korišćena su tri međusobno umrežena računara, dva za primenu IPsec rešenja a jedan za ulogu bridža tj. snimanje saobraćaja.

  33. IPsec • Testiranje performansi • Na sva tri računara instaliran je Slackware Linux 10.2 sa kernelom 2.6.17.8. Na AMD i Intel računaru je uključena podrška za IPsec: • CONFIG_NET_KEY = Y • CONFIG_INET_AH = Y • CONFIG_INET_ESP = Y • kao i odgovarajuće kripto-algoritme: • CONFIG_CRYPTO_HMAC = Y • CONFIG_CRYPTO_MD5 = Y • CONFIG_CRYPTO_SHA1 = Y • CONFIG_CRYPTO_DES = Y • CONFIG_CRYPTO_AES = Y • dok je na IBM računaru uključen modul za bridž: • CONFIG_BRIDGE = Y

  34. IPsec • Korišćeni programi • Od dodatnog softvera na AMD i Intel računarima je korišćen program netperf, a na IBM računaru program ethereal. • Program netperf omogućava izvršavanje različitih testova vezanih za mrežu. Jedna od glavnih osobina ovog softvera je to što je realizovan u vidu klijentske i serverske komponente, tako da omogućava praćenje željenih parametara i na klijentskoj i na serverskoj strani, istovremeno. • Program ethereal omogućava snimanje mrežnog saobraćaja koji prolazi kroz računar na kome je instaliran i olakšava analizu razdvajajući saobraćaj po nivoima protokola.

  35. IPsec • Mrenje mrežnih performansi • korišćen je desetosekundni TCP stream generisan pomoću netperf softvera • merenje je izvršeno po tri puta za svaki od algoritama (AES, 3DES i modifikovani AES, mAES) kao i za prenos bez šifrovanja (bez korišćenja IPsec-a) • svako merenje je vršeno po dva puta tj. u dva smera (od AMD-a ka Intel-u i obrnuto) • kod svih šifrovanih komunikacija su korišćeni i AH (Authentication Header) i ESP (Encapsulated Security Payload) • za sva merenja je korišćena ista hardverska i mrežna platforma

  36. IPsec • Mrenje mrežnih performansi • Pri svakom od merenja beleženi su sledeći parametri: • ostvarena brzina protoka podataka • opterećenje centralnog procesora pošiljaoca • opterećenje centralnog procesora primaoca • Za sve algoritme su korišćeni isti ključevi dužine 128 bita (za AH) i 192 bita (za ESP).

  37. IPsec • Eksperimentalni rezultati Dijagram sa ostvarenim brzinama protoka po algoritmu

  38. IPsec • Literatura • A. Tanenbaum, Računarske mreže, prevod Mikro knjiga • William Stallings, "Cryptography and Network Security", Fourth Edition, Prentice Hall, 2006. • A Menezes at all., “Handbook of Applied Cryptography”, CRC Press, 1996. • Daniel de Kok, "Securing IP traffic with IPsec" The Slack World #1, 2005. • Donald Eastlake 3rd "Cryptographic Algorithm Implementation Requirements For ESP And AH",, 2004. • Stephen Kent, Karen Seo, "Security Architecture for the Internet Protocol", 2005. • McDonald D., C. Metz, B. Phan, "PF_KEY Key Management API, Version 2" IETF RFC 2367, 1998.

  39. DISCUSSION QUESTIONS?

More Related