Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IPsec - wiarygodność, spójność, poufność w sieci

9b91521dd3d020edb72521181aa32c9f?s=47 Tomasz
March 30, 2006

IPsec - wiarygodność, spójność, poufność w sieci

Seminarium z przedmiotu Teoria STI.

9b91521dd3d020edb72521181aa32c9f?s=128

Tomasz

March 30, 2006
Tweet

Transcript

  1. IPsec - wiarygodność, spójność, poufność w sieci Andrzej Bojarski Marek

    Czarnecki Tomasz Torcz
  2. Plan seminarium - zagrożenia w Internecie - historia i cele

    IPsec - zasada działanie IPsec - protokoły IPsec - stan obecny, wady - perspektywy rozwoju
  3. Internet nie jest bezpieczny - powstał w atmosferze zaufania -

    TCP/IP podatne na ataki - zarówno wymagające ingerencji - ale również o wiele prostsze
  4. Zagrożenia - podgląd brak szyfrowania!

  5. Zagrożenia - modyfikacja (man in the middle) brak gwarancji spójności!

  6. Zagrożenia – zrywanie połączeń brak uwierzytelnienia!

  7. Zabezpieczenia - uwierzytelnianie, szyfrowanie - realizowalne na poziomie aplikacji -

    duplikacja kodu! - usługa systemu operacyjnego – w warstwie sieciowej
  8. IPsec – krótka historia - 1992 – opracowaniem IPsec zajmuje

    się samodzielna grupa IETF - Pierwotnie miał być stosowany tylko w IPv6 - 1995 – pierwsza specyfikacja – RFC 1825 - 1998 – druga oficjalna specyfikacja – dodane IKE
  9. Cele IPsec - Zabezpieczenie przed wcześniej wymienionymi metodami ataków -

    Uniwersalność – IPsec działa w warstwie 3 modelu OSI – więc może być stosowany zarówno dla TCP jak i UDP - Szyfrowanie ruchu i potwierdzanie integralności
  10. IPSec - protokoły: AH, ESP, ISAKMP/IKE - tryby pracy: transportowy,

    tunelowy - Security Associations - uwierzytelnianie: hasła, X.509, RSA, Kerberos
  11. IPSec – tryby pracy - transportowy (pierwotny pakiet) - tunelowy

    IP IP IP IP TCP TCP TCP AH AH DANE DANE DANE
  12. IPSec – protokoły Authentication Header: - poświadczenie niezmienionej treści -

    obejmuje adresy w nagłówku IP - NAT odpada Encapsulated Security Payload: - zapewnia szyfrowanie - duży wybór algorytmów szyfrowania (wymagane: NULL, DES; opcjonalne 3DES, Blowfish, AES, Serpent, RC5, inne) - może spełniać zadania AH - może go zastąpić
  13. IPSec – protokoły cd. Internet Key Exchange: - negocjacja parametrów

    SA - wymiana kluczy - działa na porcie 500 UDP - dwie fazy: ISAKMP SA/Diffie-Hellman
  14. Faza pierwsza: Negocjacja następujących parametrów: - Algorytm szyfrowania - Funkcja

    skrótu - Metoda uwierzytelnienia - Grupa mod P do Diffie-Hellmana Wymiana kluczy i ostatecznie utworzenie ISAKMP
  15. Faza druga - Uzgodnienie parametrów ESP - Uzgodnienie materiału kluczowego

    Wymiana kluczy dokonywana jest również przy pomocy algorytmu Diffiego-Hellmana Jak działa ten algorytm ?
  16. Algorytm Diffiego-Hellmana

  17. IPSec – zastosowania - sieci bezprzewodowe - w miejsce słabego

    WEP - sieci rozległe - tworzenie Wirtualnych Sieci Prywatnych - wszędzie indziej, gdzie potrzeba spójności, poufności, wiarygodności
  18. VPN – schemat działania

  19. SERWERY VPN + OPEN VPN

  20. IPSec – perspektywy rozwoju - - IPSec jest najbezpieczniejszym i

    najbardziej przenośnym sposobem na stworzenie bezpiecznej sieci korporacyjnej opartej o łącza publiczne - - Dostępny w każdym systemie operacyjnym - - Wzrastające zainteresowanie firm i urzędów publicznych - Najlepsza propozycja na rynku (pomimo wad)
  21. IPSec – perspektywy rozwoju c.d. • ,,Nawet pomimo dość poważnych

    zarzutów jakie wysunęliśmy wobec IPSec, jest on prawdopodobnie najlepszym protokołem bezpieczeństwa z obecnie dostępnych. W przeszłości przeprowadziliśmy podobne analizy innych protokołów o analogicznym przeznaczeniu (w tym PPTP). Żaden ze zbadanych protokołów nie spełnił swojego celu, ale IPSec zbliżył się do niego najbliżej. (...) Mamy ambiwalentne odczucia wobec IPSec. Z jednej strony IPSec jest znacznie lepszy niż jakikolwiek protokół bezpieczeństwa IP stworzony w ostatnich latach: Microsoft PPTP, L2TP itp. Z drugiej strony nie wydaje nam się, by zaowocował on kiedykolwiek stworzeniem w pełni bezpiecznego systemu.''
  22. IPSec – inne wady - niezgodność implementacji - wymagane są

    słabe algorytmy, lepsze – opcja - potrzebna dodatkowa moc obliczeniowa - nie wszyscy mają pojęcie o kryptografii
  23. Teoria STI - seminarium Autorzy prezentacji: Andrzej Bojarski, 93778 Marek

    Czarnecki, 93787 Tomasz Torcz, 89418 semestr VIII, specjalność STI Elementy graficzne pochodzą z http://tango-project.org