Σχεδιασμός Εικονικών Δικτύων Ενότητα 4α: VPN on IPSec

Σχετικά έγγραφα
Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

Σχεδιασμός Εικονικών Δικτύων Ενότητα 9: Συγκριτική Παρουσίαση βασικών τεχνολογιών VPN

Σχεδιασμός Εικονικών Δικτύων Ενότητα 7: Μεταγλώττιση διευθύνσεων (ΝΑΤ)

Σχεδιασμός Εικονικών Δικτύων Ενότητα 1: Εισαγωγή - Ιστορική Αναδρομή Τα πρώτα ιδιωτικά δίκτυα

Ασφάλεια Υπολογιστικών Συστημάτων

Σχεδιασμός Εικονικών Δικτύων Ενότητα 2: Κατηγορίες VPN Τεχνολογίες VPN

Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS)

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

Ασφάλεια Υπολογιστικών Συστημάτων

Σχεδιασμός Εικονικών Δικτύων Ενότητα 3: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Δικτύου (Layer 3 MPLS VPNs)

ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΔΙΚΤΥΩΝ

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 7: Διευθυνσιοδότηση Internet Protocol (IP) v4

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΛΑΜΙΑΣ

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

Ασφάλεια Υπολογιστικών Συστηµάτων

Cryptography and Network Security Chapter 19

Κεφάλαιο 22. Πρωτόκολλα και πρότυπα ασφαλείας του Διαδικτύου

Μελέτη και υλοποίηση προσομοίωσης Εικονικού Ιδιωτικού ικτύου IPSec με το πρωτόκολλο Mobility and Multihomed IKEv2 (MOBIKE)

Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου. Πληροφορική Ι. Ενότητα 10 : Ασφάλεια. Δρ. Γκόγκος Χρήστος

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Εισαγωγή στην Πληροφορική

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

8.3 Ασφάλεια ικτύων. Ερωτήσεις

Δίκτυα Υπολογιστών Ενότητα 7: Internet Control Message Protocol - ICMP

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

Δίκτυα Υπολογιστών Ενότητα 10: Ethernet και ARP

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Πρωτόκολλα Διαδικτύου

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 9: MPLS

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Διπλωματική Εργασία. Γεώργιου Γκίτσα

Σχεδιασμός Εικονικών Δικτύων Ενότητα 5: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Ζεύξης Δεδομένων (Layer 2 VPNs)

Δίκτυα Υπολογιστών I

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Πρόγραμμα Μεταπτυχιακών Σπουδών (Π.Μ.Σ.) Ασφάλεια Δικτύων. Δρ. Κωνσταντίνος Παπαπαναγιώτου

Δίκτυα Υπολογιστών Ενότητα 5: User Datagram Protocol - UDP

Δίκτυα Υπολογιστών Ενότητα 9: Dynamic Host Configuration Protocol- DHCP

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή Πιστοποίησης Χρηστών (Radius Server)

γ. Αυθεντικότητα (authentication) δ. Εγκυρότητα (validity) Μονάδες 5

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

Προχωρημένα Θέματα Προγραμματισμού Δικτύων Ενότητα 12: Διαφοροποιημένες Υπηρεσίες διαδικτύου MPLS Φώτης Βαρζιώτης

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

Πρωτόκολλα Επικοινωνίας Πρωτόκολλο IP

Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών

ΤΕΙ Στερεάς Ελλάδας Τμ. Ηλ.γων Μηχ/κων ΤΕ. Δίκτυα Υπολογιστών. Διάλεξη 1: Εισαγωγή στα δίκτυα υπολογιστών και βασικές αρχές

Δίκτυα Υπολογιστών ΙΙ (Ασκήσεις Πράξης)

Σχεδίαση Δικτύων Υπολογιστών

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Ειδικά Θέματα Δικτύων Ι

Ασφάλεια Υπολογιστικών Συστημάτων

Περιεχόµενα. Ασφάλεια σε επίπεδο δικτύου. IPSec. AH/ESP Transport mode / Tunnel Mode Key management

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

ΜΗΧΑΝΙΣΜΟΙ ΠΟΙΟΤΗΤΑΣ ΥΠΗΡΕΣΙΑΣ ΣΕ ΔΙΚΤΥΑ

Σκοπιµότητα των firewalls

Σχεδίαση Δικτύων Υπολογιστών

Προγραμματισμός Ηλεκτρονικών Υπολογιστών 1

ΜΑΘΗΜΑ: Δίκτυα Υψηλών Ταχυτήτων

Πληροφορική Ι. Μάθημα 10 ο Ασφάλεια. Τμήμα Χρηματοοικονομικής & Ελεγκτικής ΤΕΙ Ηπείρου Παράρτημα Πρέβεζας. Δρ. Γκόγκος Χρήστος

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Τεχνολογία Πολυμέσων. Ενότητα # 17: Πρωτόκολλα μετάδοσης Διδάσκων: Γεώργιος Ξυλωμένος Τμήμα: Πληροφορικής

Ειδικά Θέματα Δικτύων Ι

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

Προχωρημένα Θέματα Προγραμματισμού Δικτύων

Χρήση βασικών εργαλείων συλλογής πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου

ΜΗΧΑΝΙΣΜΟΙ ΠΟΙΟΤΗΤΑΣ ΥΠΗΡΕΣΙΑΣ ΣΕ ΔΙΚΤΥΑ

AEI Πειραιά Τ.Τ. Τμ. Μηχ/κων Αυτοματισμού ΤΕ. Δίκτυα Υπολογιστών. Διάλεξη 1: Εισαγωγή στα δίκτυα υπολογιστών και βασικές αρχές

Κεφάλαια 2&21. Συναρτήσεις κατακερματισμού Πιστοποίηση ταυτότητας μηνυμάτων

Κεφάλαιο 10. Εικονικά Ιδιωτικά Δίκτυα - VPN

Δίκτυα Θεωρία

Β. Μάγκλαρης 07/12/2015.

ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #11: Ασφάλεια δικτύων

Επίπεδο Δικτύου: Διαδικτύωση

AEI Πειραιά Τ.Τ. Τμ. Μηχ/κων Αυτοματισμού ΤΕ. Δίκτυα Μετάδοσης Δεδομένων. Διάλεξη 1: Εισαγωγή στα δίκτυα υπολογιστών και βασικές αρχές

Ειδικά Θέματα Δικτύων Ι

ΟΝΟΜΑ:ΧΡΥΣΑΝΘΗ ΕΠΙΘΕΤΟ:ΚΟΛΟΚΟΥΡΑ Α.Μ 10749

Πρωτόκολλα Διαδικτύου

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Ασφάλεια Πληροφοριακών Συστηµάτων

Ασφάλεια Υπολογιστικών Συστημάτων

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Δίκτυα Υπολογιστών. Δίκτυα υπολογιστών και το Διαδίκτυο Εισαγωγή. Κ. Βασιλάκης

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στην Πληροφορική

Κρυπτογραφία. Κεφάλαιο 1 Γενική επισκόπηση

Transcript:

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4α: VPN on IPSec Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα του ΤΕΙ Δυτικής Μακεδονίας και της Ανώτατης Εκκλησιαστικής Ακαδημίας Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Virtual Private Network (VPN) on Internet protocol Security (IPSec)

Σκοποί ενότητας Σκοπός της ενότητας είναι η περιγραφή του πρωτοκόλλου IPSec. 5

Περιεχόμενα ενότητας (1/2) Πρωτόκολλο IPSec. Θέματα ασφαλείας. Υπηρεσίες. Κεφαλίδες. Καταστάσεις λειτουργίας. 6

Περιεχόμενα ενότητας (2/2) Τρόποι υλοποίησης. Συσχετίσεις ασφαλείας. Πρωτόκολλο διαχείρισης κλειδιών Internet Key Exchange (ΙΚΕ). Εφαρμογές IPSec. 7

Εισαγωγή (1/2) Το Διαδίκτυο σχεδιάστηκε για πολύ πιο περιορισμένη χρήση από την σημερινή. Κανένας δεν φανταζόταν την τρομακτική εξέλιξη και εξάπλωση των τελευταίων ετών. Το πρωτόκολλο IPv4 στο οποίο στηρίζεται το Internet έχει σημαντικά κενά ασφαλείας, ενώ δεν επαρκούν και οι διαθέσιμες ΙΡ διευθύνσεις. 8

Εισαγωγή (2/2) Τα πρωτόκολλα Transmission Control Protocol (TCP)/IP δεν παρέχουν μηχανισμούς κρυπτογράφησης. Συνεπώς, για την ασφαλή μετάδοση πάνω σε δίκτυο IP υπήρξε η ανάγκη νέου πρωτοκόλλου με μηχανισμούς κρυπτογράφησης, το οποίο θα είναι εφαρμόσιμο σε IP δίκτυα. 9

IPsec (1/3) To IPsec αποτελεί ένα σύνολο πρωτοκόλλων ανεπτυγμένων από το Internet Engineering Task Force (IETF) με στόχο την ασφαλή μετάδοση και ανταλλαγή δεδομένων (packets) μέσω του στρώματος ΙΡ. 10

IPsec (2/3) Η μετεξέλιξη του IPv4 σε IPv6 αφενός παρέχει περισσότερες διευθύνσεις, αφετέρου περιέχει υποχρεωτικά ένα τμήμα προδιαγραφών (το IPsec) που βελτιώνει σημαντικά το ζήτημα της ασφάλειας. Λόγω της αργοπορίας σχετικά με την αντικατάσταση του IPv4 από το IPv6, το IPsec σχεδιάστηκε έτσι ώστε να μπορεί να χρησιμοποιηθεί και από το IPv4. 11

IPsec (3/3) Το IPsec σήμερα αποτελεί έναν από τους πιο διαδεδομένους τρόπους υλοποίησης των δικτύων VPN. 12

Θέματα ασφαλείας Τα θέματα ασφάλειας που ανακύπτουν με τη χρησιμοποίηση του Διαδικτύου για τη πραγματοποίηση ιδιωτικών επικοινωνιών είναι τα ακόλουθα. Απώλεια της Ιδιωτικότητας των Δεδομένων (Loss of Privacy). Απώλεια Ακεραιότητας Δεδομένων (Loss of Data Integrity). Προσποίηση Ταυτότητας (Identity Spoofing). Άρνηση Υπηρεσιών (Denial-of-Service). 13

Απώλεια της Ιδιωτικότητας των Δεδομένων (Loss of Privacy) Σε αυτή την περίπτωση ένας μη εξουσιοδοτημένος χρήστης που έχει καταφέρει να εισχωρήσει σε κάποιο δίκτυο έχει τη δυνατότητα να παρακολουθεί εμπιστευτικά δεδομένα κατά τη διακίνησή τους στο Internet. 14

Απώλεια της Ακεραιότητας των Δεδομένων (Loss of Data Integrity) Σε αυτή την περίπτωση ένας μη εξουσιοδοτημένος χρήστης αλλάζει τα δεδομένα που μεταφέρονται στο δίκτυο (π.χ. τους αριθμούς ενός λογαριασμού καταθέσεων) 15

Προσποίηση Ταυτότητας (Identity Spoofing) Σε αυτή την περίπτωση ένας μη εξουσιοδοτημένος χρήστης παριστάνει ότι είναι ένας νόμιμος χρήστης του δικτύου και ζητά πληροφορίες που σε διαφορετική περίπτωση δε θα μπορούσε να έχει. 16

Άρνηση Υπηρεσιών (Denial-of-Service) Σε αυτή την περίπτωση γίνεται επίθεση σε κάποιον server του δικτύου ώστε να σταματήσει να λειτουργεί λόγω αυξημένου αριθμού κλήσεων. 17

Υπηρεσίες IPsec (1/2) Ο βασικός στόχος στην ανάπτυξη του προτύπου IPsec είναι η αντιμετώπιση των παραπάνω απειλών χωρίς να απαιτείται πρόσθετος εξοπλισμός, ούτε να υπάρχει ανάγκη για ένα σύνολο τροποποιήσεων και αλλαγών σε διάφορες εφαρμογές. 18

Υπηρεσίες IPsec (2/2) Oι υπηρεσίες που προσφέρει το πρωτόκολλο IPsec είναι. Ακεραιότητα των δεδομένων (Integrity). Εξακρίβωση γνησιότητας της προέλευσης των δεδομένων (Authentication). Εμπιστευτικότητα (Confidentiality). Έλεγχος πρόσβασης. Απόρριψη πακέτων επανεκπομπής. 19

Ακεραιότητα των δεδομένων (1/2) Υπηρεσία που διασφαλίζει ότι τα πακέτα δεδομένων κατά την διάρκεια της μεταφοράς τους δεν έχουν αλλοιωθεί ή παραποιηθεί, είτε από «εισβολείς» είτε από τυχόν σφάλματα επικοινωνίας. 20

Ακεραιότητα των δεδομένων (2/2) Σχήμα 1. Ακεραιότητα δεδομένων. 21

Εξακρίβωση γνησιότητας της προέλευσης των δεδομένων Υπηρεσία που επαληθεύει ότι τα δεδομένα στάλθηκαν πράγματι από το χρήστη που ισχυρίζεται ότι τα έστειλε. Σχήμα 2. Εξακρίβωση γνησιότητας της προέλευσης των δεδομένων. 22

Εμπιστευτικότητα (1/2) Υπηρεσία που προσφέρει τη δυνατότητα αναγνώρισης και επεξεργασίας των δεδομένων μόνο από εγκεκριμένους χρήστες. 23

Εμπιστευτικότητα (2/2) Σχήμα 3. Σενάριο εμπιστευτικότητας IP. 24

Ασφάλεια IPsec (1/3) Το IPsec παρέχει ένα σύνολο αλγορίθμων ασφάλειας, καθώς και ένα γενικό πλαίσιο, που επιτρέπει την επικοινωνία δύο οντοτήτων με χρήση οποιωνδήποτε αλγορίθμων που παρέχουν κατάλληλη ασφάλεια για την επικοινωνία. 25

Ασφάλεια IPsec (2/3) Κάθε ΙΡsec σύνδεση μπορεί να παρέχει είτε κρυπτογράφηση με Encapsulating Security Payload (ESP) είτε ακεραιότητα και πιστοποίηση ταυτότητας δεδομένων με Authentication Header (AH) ή και τα δύο (με ESP όπου υπάρχει και το αντίστοιχο πεδίο αυθεντικοποίησης των δεδομένων). 26

Ασφάλεια IPsec (3/3) Όταν η υπηρεσία ασφάλειας καθοριστεί, οι δυο επικοινωνούντες κόμβοι πρέπει να καθορίσουν ακριβώς ποιους αλγόριθμους θα χρησιμοποιήσουν, για παράδειγμα Advanced Encryption Standard (AES) ή Triple Data Encryption Standard (3DES) για κρυπτογράφηση και Message Digest number 5 (MD5) ή Secure Hash Algorithm (SHA) για ακεραιότητα δεδομένων. Αφού αποφασίσουν για τους αλγόριθμους οι δύο συσκευές πρέπει να μοιράσουν κλειδιά σύνδεσης. 27

Πρωτόκολλα IPsec (1/2) Το IPsec αναφέρεται σε μια σειρά πρωτοκόλλων όπως ορίζεται στα Request for Comments (RFC) 2401-2411 και RFC 2451. 28

Πρωτόκολλα IPsec (2/2) Αυτά τα πρωτόκολλα χωρίζονται σε δύο κύριες κατηγορίες. Πρωτόκολλα σχετικά με την ασφάλεια, τα οποία καθορίζουν την πληροφορία που πρέπει να προστεθεί σε ένα IP πακέτο για να ενεργοποιηθούν οι έλεγχοι εμπιστευτικότητας, ακεραιότητας και πιστοποίησης ταυτότητας. Επίσης καθορίζεται και το πως πρέπει να γίνει η κρυπτογράφηση των δεδομένων του πακέτου. Πρωτόκολλα σχετικά με την ανταλλαγή κλειδιών, τα οποία διαπραγματεύονται το συσχετισμό ασφάλειας μεταξύ των δυο υποψήφιων προς επικοινωνίας οντοτήτων. 29

Κεφαλίδες IPsec (1/2) Το ΙPsec ορίζει ένα νέο σετ κεφαλίδων το οποίο προστίθεται στα IP πακέτα. Προκύπτουν έτσι καινούρια IP πακέτα μεγαλύτερα σε μέγεθος και άλλης δομής, που όμως επιτρέπουν τη διασφάλιση των απαιτήσεων ασφαλείας που περιγράφηκαν παραπάνω. 30

Κεφαλίδες IPsec (2/2) Αυτές οι νέες κεφαλίδες που διασφαλίζουν την ασφάλεια των IP πακέτων είναι οι εξής. Κεφαλίδα πιστοποίησης ταυτότητας (AH Authentication Header) Ασφαλής Ενθυλάκωση της Πληροφορίας (ESP Encapsulating Security Payload) 31

Authentication Header - ΑΗ (1/4) Η Κεφαλίδα Πιστοποίησης Ταυτότητας (AH - Authentication Header) όταν προστίθεται σε ένα IP πακέτο, διασφαλίζει την ακεραιότητα, την πιστοποίηση ταυτότητας των δεδομένων, καθώς και την αποφυγή διπλότυπων πακέτων (επιθέσεις επανεκπομπής). Δεν παρέχει ασφάλεια εμπιστευτικότητας. 32

Authentication Header - ΑΗ (2/4) Η ακεραιότητα και η πιστοποίηση πραγματοποιούνται και από τα δύο IPsec μέλη στις άκρες του tunnel εκτελώντας μία συνάρτηση κατακερματισμού στο IP πακέτο χρησιμοποιώντας ένα κοινό κλειδί (Message Authentication Code MAC). 33

Authentication Header - ΑΗ (3/4) Το αποτέλεσμα του υπολογισμού ο οποίος προκύπτει από τη συνάρτηση κατακερματισμού δεν κρυπτογραφείται και χρησιμοποιείται απλά από το άλλο συμβαλλόμενο μέρος για να ελέγξει ότι τα στοιχεία δεν έχουν τροποποιηθεί. 34

Authentication Header - ΑΗ (4/4) Η χρησιμοποίηση ενός κοινού μυστικού κλειδιού που είναι γνωστό και στα δύο μέρη (αποστολέας-δέκτης) εγγυάται την πιστοποίηση της ταυτότητας των συμβαλλομένων. 35

Πεδία κεφαλίδας Authentication Header (1/4) Η κεφαλίδα πιστοποίησης ταυτότητας αποτελείται από 5 πεδία. Πεδίο επόμενης κεφαλίδας (Next Header field), όπου προσδιορίζει ποια είναι η επόμενη κεφαλίδα που είναι παρούσα στο IP πακέτο (π.χ. TCP, User datagram Protocol -UDP) Μέγεθος του φορτίου (Payload length) 36

Πεδία κεφαλίδας Authentication Header (2/4) Η κεφαλίδα πιστοποίησης ταυτότητας αποτελείται από 5 πεδία (Συνέχεια). Δείκτης παραμέτρων ασφαλείας (Security Parameter Index - SPI) Προσδιορίζει στον παραλήπτη ποια πρωτόκολλα ασφαλείας χρησιμοποιήθηκαν από τον αποστολέα Ακολουθιακός αριθμός (Sequence number). Αυξάνεται κατά ένα για κάθε νέο πακέτο που καταφτάνει στον δέκτη από τον ίδιο αποστολέα και με το ίδιο SPI. 37

Πεδία κεφαλίδας Authentication Header (3/4) Η κεφαλίδα πιστοποίησης ταυτότητας αποτελείται από 5 πεδία (Συνέχεια). Δεδομένα πιστοποίησης ταυτότητας (Authentication data). Το τμήμα εκείνο που εξασφαλίζει την πιστοποίηση ταυτότητας. Όπως ήδη αναφέρθηκε, είναι το αποτέλεσμα μίας συνάρτησης κατακερματισμού (Integration Check Value ICV). 38

Πεδία κεφαλίδας Authentication Header (4/4) Σχήμα 4: Δομή πρωτοκόλλου IPsec AH: Κεφαλίδα Πιστοποίησης Ταυτότητας. 39

ESP Encapsulating Security Payload (1/3) Η κεφαλίδα Ασφαλής Ενθυλάκωση της Πληροφορίας (ESP - Encapsulating Security Payload) παρέχει υπηρεσίες για την πιστοποίηση και ακεραιότητα των πακέτων IP που διαβιβάζονται μεταξύ δύο IPsec συστημάτων. Η πιστοποίηση και η ακεραιότητα μπορούν να παρασχεθούν με τον ίδιο τρόπο που τα παρέχει και η κεφαλίδα AH. 40

ESP Encapsulating Security Payload (2/3) Το ESP υποστηρίζει ένα μεγάλο αριθμό αλγορίθμων πιστοποίησης ταυτότητας και ακεραιότητας όπως HMAC-MD5 και HMAC- SHA-1. Επιπρόσθετα παρέχει εμπιστευτικότητα μέσω μεθόδων κρυπτογράφησης ενός IP πακέτου. 41

ESP Encapsulating Security Payload (3/3) Το ESP υποστηρίζει ένα μεγάλο αριθμό συμμετρικών αλγορίθμων κρυπτογράφησης, όπως για παράδειγμα ο 3DES ή ο απλός DES, RC5, IDEA,CAST, Blowfish, αλλά η εξ ορισμού συνηθισμένη προεπιλογή είναι ο αλγόριθμος AES (128-bit). 42

Πεδία κεφαλίδας Encapsulating Security Payload (1/4) Η κεφαλίδα Ασφαλής Ενθυλάκωσης της Πληροφορίας (ESP) αποτελείται από 6 πεδία. Δύο από αυτά τοποθετούνται πριν το φορτίο του IP πακέτου (ESP Header) και τα υπόλοιπα τέσσερα μετά από αυτό (ESP Trailer). 43

Πεδία κεφαλίδας Encapsulating Security Payload (2/4) Τα πεδία SPI και Sequence Number του ESP Header έχουν την ίδια λειτουργία όπως στο AH. Το ίδιο ισχύει για τα πεδία Pad Length, Next Header και ICV (το οποίο είναι προαιρετικό) του ESP Trailer. 44

Πεδία κεφαλίδας Encapsulating Security Payload (3/4) Το πεδίο Padding (συμπλήρωσης) έχει μέγεθος το πολύ 255 bytes και χρειάζεται για να προσαρμόζεται το μέγεθος του IP πακέτου, ανάλογα με τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται (αν αναλογιστούμε ότι κάποιοι αλγόριθμοι κρυπτογράφησης απαιτούν τα δεδομένα να είναι μήκους πολλαπλάσιου κάποιου συγκεκριμένου αριθμού bytes). 45

Πεδία κεφαλίδας Encapsulating Security Payload (4/4) Σχήμα 5: Δομή πρωτοκόλλου IPsec ESP: Κεφαλίδα Πιστοποίησης Ταυτότητας. 46

Καταστάσεις ή τρόποι λειτουργίας (1/2) Το IPsec παρέχει δυο καταστάσεις (ή τρόπους) λειτουργίας (που σημαίνει δύο τρόπους με τους οποίους μπορούν τα τοποθετηθούν οι κεφαλίδες AH και ESP). Κατάσταση λειτουργίας μεταφοράς (transport mode). Κατάσταση λειτουργίας διόδου (tunnel mode). 47

Καταστάσεις ή τρόποι λειτουργίας (2/2) Σχήμα 6. Τρόπος καθορισμού ενός IPSec μετασχηματισμού (πρωτόκολλα-αλγόριθμοι-τρόποι υλοποίησης). 48

Κατάσταση λειτουργίας μεταφοράς (1/3) Στην κατάσταση λειτουργίας μεταφοράς (transport mode), οι αρχικές επικεφαλίδες του IP πακέτου μένουν ανέπαφες (φανερές στο δημόσιο δίκτυο). Αφήνοντας την ΙΡ επικεφαλίδα χωρίς κρυπτογράφηση, ένας επιτιθέμενος μπορεί να κάνει ανάλυση κίνησης (traffic analysis). 49

Κατάσταση λειτουργίας μεταφοράς (2/3) Η κατάσταση λειτουργίας μεταφοράς επιτρέπει ειδική επεξεργασία των πακέτων (για παράδειγμα δρομολόγηση με βάση την Ποιότητα Υπηρεσίας - QoS), βασισμένη στην πληροφορία που βρίσκεται στην ΙΡ επικεφαλίδα. 50

Κατάσταση λειτουργίας μεταφοράς (3/3) Ο τρόπος λειτουργίας μεταφοράς χρησιμοποιείται κυρίως για διασύνδεση μεταξύ δύο LAN ή για εφαρμογές πελάτηεξυπηρετητή (client-server). Στην ουσία, είναι ο τρόπος με τον οποίο δύο συσκευές του δικτύου (και όχι οι χρήστες) μπορούν να επικοινωνήσουν. 51

Πλεονεκτήματα κατάστασης λειτουργίας μεταφοράς Η κατάσταση λειτουργίας μεταφοράς (transport mode), έχει το πλεονέκτημα της προσθήκης μόνο μερικών bytes σε κάθε πακέτο. Επιπλέον οι συσκευές στο δημόσιο δίκτυο (π.χ. οι δρομολογητές) μπορούν να βλέπουν τον τελικό αποδέκτη του πακέτου, αφού οι IP διευθύνσεις μεταδίδονται ανέπαφες (μη κρυπτογραφημένες). 52

Μειονεκτήματα κατάστασης λειτουργίας μεταφοράς Μειονέκτημα αυτού του τρόπου λειτουργίας είναι το γεγονός ότι αφήνοντας την ΙΡ επικεφαλίδα χωρίς κρυπτογράφηση, ένας επιτιθέμενος μπορεί να κάνει ανάλυση κίνησης (traffic analysis). Για παράδειγμα, ο επιτιθέμενος θα μπορούσε να δει πότε ένας εργαζόμενος μίας εταιρίας έστειλε πολλά πακέτα σε έναν άλλο εργαζόμενο. Ωστόσο θα πρέπει να σημειωθεί ότι ο επιτιθέμενος θα γνώριζε μόνο την αποστολή των ΙΡ πακέτων και τίποτα άλλο, δεν θα ήταν στη θέση να καθορίσει αν π.χ. αυτά ήταν πακέτα e-mail ή κάποιας άλλης εφαρμογής. 53

Κατάσταση λειτουργίας διόδου (1/3) Στην κατάσταση λειτουργίας διόδου (tunnel mode), όλο το αρχικό ΙΡ πακέτο κρυπτογραφείται και γίνεται το φορτίο (payload) ενός καινούριου ΙΡ πακέτου. Αυτό σημαίνει ότι οι λειτουργίες κρυπτογράφησης, αυθεντικοποίησης κτλ. συντελούνται σε ολόκληρο το πακέτο, συμπεριλαμβανομένης και της αρχικής IP διεύθυνσης. 54

Κατάσταση λειτουργίας διόδου (2/3) Το καινούριο IP πακέτο που προκύπτει έχει μία νέα IP διεύθυνση (IPsec διεύθυνση). Αυτή η κατάσταση λειτουργίας επιτρέπει σε μια δικτυακή συσκευή, όπως ένας δρομολογητής, να ενεργήσει σαν ένας ΙΡsec proxy. Αυτό σημαίνει ότι ο δρομολογητής είναι αυτός που πραγματοποιεί την κρυπτογράφηση για λογαριασμό των υπολογιστών του δικτύου. 55

Κατάσταση λειτουργίας διόδου (3/3) O δρομολογητής-αποστολέας κρυπτογραφεί τα πακέτα και τα προωθεί στη IPsec δίοδο (tunnel). Ο αποδέκτης-δρομολογητής αποκρυπτογραφεί το αρχικό ΙΡ πακέτο και το προωθεί στον τελικό αποδέκτη. 56

Πλεονεκτήματα κατάστασης λειτουργίας διόδου (1/2) Το βασικό πλεονέκτημα λοιπόν είναι ότι τα ακραία συστήματα δεν χρειάζεται να έχουν απαραίτητες ρυθμίσεις έτσι ώστε να απολάβουν τα οφέλη από τη χρήση του IPsec. Το λειτουργικό σύστημα του χρήστη δεν χρειάζεται τροποποίηση. 57

Πλεονεκτήματα κατάστασης λειτουργίας διόδου (2/2) Άλλο πλεονέκτημα του τρόπου λειτουργίας διόδου είναι ότι προστατεύει το σύστημα από την διαδικασία της ανάλυσης κίνησης. Λόγω του ότι η αρχική IP διεύθυνση είναι «κρυμμένη», ο επιτιθέμενος μπορεί να προσδιορίσει μόνο τα ακραία σημεία του tunnel και όχι την πραγματική πηγή και τον προορισμό των πακέτων που κυκλοφορούν μέσα σε αυτό. Μειονέκτημα βέβαια είναι η μεγαλύτερη επεξεργασία πακέτων που απαιτείται. 58

Εφαρμογή Κατάστασης λειτουργίας διόδου (1/2) Η κατάσταση λειτουργίας διόδου του IPsec αποτελεί τον πιο κοινό τρόπο λειτουργίας όσον αφορά τη σύνδεση μεταξύ δύο gateway συσκευών ή μια σύνδεση μεταξύ μιας gateway συσκευής και ενός τερματικού σταθμού. 59

Εφαρμογή Κατάστασης λειτουργίας διόδου (2/2) Ένα παράδειγμα αυτού του τρόπου υλοποίησης είναι ένας κινητός χρήστης που θέλει να συνδεθεί στο δίκτυο ενός οργανισμού για την απόκτηση πρόσβασης στο ηλεκτρονικό ταχυδρομείο ή σε διάφορα αρχεία. 60

Σύγκριση δύο τρόπων λειτουργίας IPsec - Tunnel και Transport mode Σχήμα 7. Σύγκριση των πακέτων για τους δύο τρόπους λειτουργίας (tunnel και transport) 61

Τρόποι υλοποίησης ΙΡsec (1/3) Ανάλογα με τον τρόπο υλοποίησης του IPsec (μεταφοράς ή διόδου) το τελικό IP πακέτο που δημιουργείται με την εφαρμογή της κεφαλίδας είτε της ΑΗ είτε της ESP, είναι διαφορετικό σε κάθε περίπτωση. Δύο διαφορετικές κεφαλίδες. Authentication Header (ΑΗ). Encapsulating Security Payload (ESP). 62

Τρόποι υλοποίησης ΙΡsec (2/3) Δύο διαφορετικές καταστάσεις λειτουργίας. Transport mode. Tunnel mode. Τέσσερις διαφορετικοί τρόποι υλοποίησης. ΑΗ - Transport mode. ΑΗ - Tunnel mode. 63

Τρόποι υλοποίησης ΙΡsec (3/3) Τέσσερις διαφορετικοί τρόποι υλοποίησης (Συνέχεια). ESP - Transport mode. ESP - Tunnel mode. 64

Υλοποίηση AH-Transport mode (1/2) Στον AH transport τρόπο υλοποίησης οι υπηρεσίες ακεραιότητας και πιστοποίησης του ΑΗ πρωτοκόλλου προστατεύουν το αρχικό IP πακέτο. H κεφαλίδα AH παρεμβάλλεται μετά από την αρχική IP κεφαλίδα και πριν από τα δεδομένα του IP πακέτου (που είναι τα περιεχόμενα των άνω στρωμάτων της στοίβας πρωτοκόλλου του μοντέλου OSI). 65

Υλοποίηση AH-Transport mode (2/2) Επειδή καμία κρυπτογράφηση δεν περιλαμβάνεται σε αυτό το σημείο, η IP διεύθυνση προορισμού είναι αναγνώσιμη από οποιαδήποτε συσκευή του ανώτερου επιπέδου 3 - όπως για παράδειγμα ένας δρομολογητής. 66

Υλοποίηση AH-Tunnel mode (1/2) Στον AH tunnel τρόπο υλοποίησης, ολόκληρο το αρχικό IP πακέτο (κεφαλίδα και δεδομένα) γίνονται τα δεδομένα (φορτίο) για το νέο πακέτο. Μία νέα IP κεφαλίδα που περιλαμβάνει πληροφορίες για τα άκρα του tunneling (IP addresses) προστίθεται στο νέο πακέτο. 67

Υλοποίηση AH-Tunnel mode (2/2) Ολόκληρο το νέο πακέτο (νέο IP Header, AH Header, αρχικό IP Header, και αρχικό IP Payload) προστατεύεται από το πρωτόκολλο AH. 68

Σύγκριση AH Transport και AH Tunnel mode Σχήμα 8. Σύγκριση Transport και Tunnel τρόπων υλοποίησης του IPSec, όταν χρησιμοποιείται ΑΗ. 69

Υλοποίηση ESP-Transport mode (1/2) Στον ESP transport τρόπο υλοποίησης το νέο ESP header τοποθετείται ανάμεσα στην κεφαλίδα και τα δεδομένα του αρχικού πακέτου, ενώ το ESP trailer τοποθετείται μετά από τα δεδομένα του αρχικού IP πακέτου. 70

Υλοποίηση ESP-Transport mode (2/2) Σχήμα 9. Υλοποίηση ESP-Transport mode. 71

Υλοποίηση ESP-Tunnel mode (1/2) Στον ESP tunnel τρόπο υλοποίησης τα ESP header και trailer τοποθετούνται εκατέρωθεν του αρχικού IP πακέτου και επιπλέον προστίθεται ένα νέο IP header που περιλαμβάνει πληροφορίες για τα άκρα του tunneling (IP addresses). 72

Υλοποίηση ESP-Tunnel mode (2/2) Σχήμα 10. Υλοποίηση ESP-Tunnel mode. 73

Σύγκριση ESP Transport και ESP Tunnel mode Σχήμα 11. Σύγκριση Transport και Tunnel τρόπων υλοποίησης του IPSec, όταν χρησιμοποιείται ESP. 74

Βιβλιογραφία (1/2) 1. Building a Virtual Private Network by Meeta Gupta, Publisher: Premier Press, Pub Date: 2003, Print ISBN: 1-931841-81-0. 2. Comparing, Designing, and Deploying VPNs by Mark Lewis, Publisher: Cisco Press, Pub Date: April 12, 2006, Print ISBN: 1-58705-179-6. 3. The Complete Cisco VPN Configuration Guide by Richard Deal, Publisher: Cisco Press, Pub Date: December 15, 2005, ISBN: 1-58705-204-0. 75

Βιβλιογραφία (2/2) 4. Troubleshooting Virtual Private Networks by Mark Lewis, Publisher: Cisco Press, Pub Date: May 27, 2004, Print ISBN: 1-58705-104-4. 5. CCSP self-study : Cisco Secure Virtual Private Networks (CSVPN) 2nd Edition, by Andrew G. Mason, Publisher: Cisco Press, Pub Date: May 19, 2004, Print ISBN: 1-58705-145-1. 76

Τέλος Ενότητας 77

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια