IPsec - wiarygodność, spójność, poufność w sieci

Transcript

1. IPsec - wiarygodność, spójność, poufność w sieci Andrzej Bojarski Marek

   Czarnecki Tomasz Torcz

2. Plan seminarium - zagrożenia w Internecie - historia i cele

   IPsec - zasada działanie IPsec - protokoły IPsec - stan obecny, wady - perspektywy rozwoju

3. Internet nie jest bezpieczny - powstał w atmosferze zaufania -

   TCP/IP podatne na ataki - zarówno wymagające ingerencji - ale również o wiele prostsze

4. Zagrożenia - podgląd brak szyfrowania!

5. Zagrożenia - modyfikacja (man in the middle) brak gwarancji spójności!

6. Zagrożenia – zrywanie połączeń brak uwierzytelnienia!

7. Zabezpieczenia - uwierzytelnianie, szyfrowanie - realizowalne na poziomie aplikacji -

   duplikacja kodu! - usługa systemu operacyjnego – w warstwie sieciowej

8. IPsec – krótka historia - 1992 – opracowaniem IPsec zajmuje

   się samodzielna grupa IETF - Pierwotnie miał być stosowany tylko w IPv6 - 1995 – pierwsza specyfikacja – RFC 1825 - 1998 – druga oficjalna specyfikacja – dodane IKE

9. Cele IPsec - Zabezpieczenie przed wcześniej wymienionymi metodami ataków -

   Uniwersalność – IPsec działa w warstwie 3 modelu OSI – więc może być stosowany zarówno dla TCP jak i UDP - Szyfrowanie ruchu i potwierdzanie integralności

10. IPSec - protokoły: AH, ESP, ISAKMP/IKE - tryby pracy: transportowy,

    tunelowy - Security Associations - uwierzytelnianie: hasła, X.509, RSA, Kerberos

11. IPSec – tryby pracy - transportowy (pierwotny pakiet) - tunelowy

    IP IP IP IP TCP TCP TCP AH AH DANE DANE DANE

12. IPSec – protokoły Authentication Header: - poświadczenie niezmienionej treści -

    obejmuje adresy w nagłówku IP - NAT odpada Encapsulated Security Payload: - zapewnia szyfrowanie - duży wybór algorytmów szyfrowania (wymagane: NULL, DES; opcjonalne 3DES, Blowfish, AES, Serpent, RC5, inne) - może spełniać zadania AH - może go zastąpić

13. IPSec – protokoły cd. Internet Key Exchange: - negocjacja parametrów

    SA - wymiana kluczy - działa na porcie 500 UDP - dwie fazy: ISAKMP SA/Diffie-Hellman

14. Faza pierwsza: Negocjacja następujących parametrów: - Algorytm szyfrowania - Funkcja

    skrótu - Metoda uwierzytelnienia - Grupa mod P do Diffie-Hellmana Wymiana kluczy i ostatecznie utworzenie ISAKMP

15. Faza druga - Uzgodnienie parametrów ESP - Uzgodnienie materiału kluczowego

    Wymiana kluczy dokonywana jest również przy pomocy algorytmu Diffiego-Hellmana Jak działa ten algorytm ?

16. Algorytm Diffiego-Hellmana

17. IPSec – zastosowania - sieci bezprzewodowe - w miejsce słabego

    WEP - sieci rozległe - tworzenie Wirtualnych Sieci Prywatnych - wszędzie indziej, gdzie potrzeba spójności, poufności, wiarygodności

18. VPN – schemat działania

19. SERWERY VPN + OPEN VPN

20. IPSec – perspektywy rozwoju - - IPSec jest najbezpieczniejszym i

    najbardziej przenośnym sposobem na stworzenie bezpiecznej sieci korporacyjnej opartej o łącza publiczne - - Dostępny w każdym systemie operacyjnym - - Wzrastające zainteresowanie firm i urzędów publicznych - Najlepsza propozycja na rynku (pomimo wad)

21. IPSec – perspektywy rozwoju c.d. • ,,Nawet pomimo dość poważnych

    zarzutów jakie wysunęliśmy wobec IPSec, jest on prawdopodobnie najlepszym protokołem bezpieczeństwa z obecnie dostępnych. W przeszłości przeprowadziliśmy podobne analizy innych protokołów o analogicznym przeznaczeniu (w tym PPTP). Żaden ze zbadanych protokołów nie spełnił swojego celu, ale IPSec zbliżył się do niego najbliżej. (...) Mamy ambiwalentne odczucia wobec IPSec. Z jednej strony IPSec jest znacznie lepszy niż jakikolwiek protokół bezpieczeństwa IP stworzony w ostatnich latach: Microsoft PPTP, L2TP itp. Z drugiej strony nie wydaje nam się, by zaowocował on kiedykolwiek stworzeniem w pełni bezpiecznego systemu.''

22. IPSec – inne wady - niezgodność implementacji - wymagane są

    słabe algorytmy, lepsze – opcja - potrzebna dodatkowa moc obliczeniowa - nie wszyscy mają pojęcie o kryptografii

23. Teoria STI - seminarium Autorzy prezentacji: Andrzej Bojarski, 93778 Marek

    Czarnecki, 93787 Tomasz Torcz, 89418 semestr VIII, specjalność STI Elementy graficzne pochodzą z http://tango-project.org