Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο)

Σχετικά έγγραφα
Σχεδιασμός Εικονικών Δικτύων Ενότητα 4α: VPN on IPSec

Σχεδιασμός Εικονικών Δικτύων Ενότητα 9: Συγκριτική Παρουσίαση βασικών τεχνολογιών VPN

Σχεδιασμός Εικονικών Δικτύων Ενότητα 1: Εισαγωγή - Ιστορική Αναδρομή Τα πρώτα ιδιωτικά δίκτυα

Σχεδιασμός Εικονικών Δικτύων Ενότητα 2: Κατηγορίες VPN Τεχνολογίες VPN

Σχεδιασμός Εικονικών Δικτύων Ενότητα 7: Μεταγλώττιση διευθύνσεων (ΝΑΤ)

Ασφάλεια Υπολογιστικών Συστημάτων

Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS)

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Σχεδιασμός Εικονικών Δικτύων Ενότητα 3: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Δικτύου (Layer 3 MPLS VPNs)

Κεφάλαιο 21. Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση ταυτότητας μηνυμάτων

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΔΙΚΤΥΩΝ

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Δίκτυα Υπολογιστών Ενότητα 9: Dynamic Host Configuration Protocol- DHCP

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

8.3 Ασφάλεια ικτύων. Ερωτήσεις

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

Κεφάλαιο 22. Πρωτόκολλα και πρότυπα ασφαλείας του Διαδικτύου

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

Ασφάλεια Υπολογιστικών Συστημάτων

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΛΑΜΙΑΣ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

YΒΡΙΔΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Lab 3

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

El Gamal Αλγόριθμος. Κώστας Λιμνιώτης Κρυπτογραφία - Εργαστηριακό μάθημα 7 2

Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου. Πληροφορική Ι. Ενότητα 10 : Ασφάλεια. Δρ. Γκόγκος Χρήστος

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Πρόγραμμα Μεταπτυχιακών Σπουδών (Π.Μ.Σ.) Ασφάλεια Δικτύων. Δρ. Κωνσταντίνος Παπαπαναγιώτου

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Ασφάλεια Υπολογιστικών Συστημάτων

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 7: Διευθυνσιοδότηση Internet Protocol (IP) v4

Ασφάλεια Πληροφοριακών Συστημάτων

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

Αλγόριθµοι δηµόσιου κλειδιού

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Cryptography and Network Security Chapter 19

Ασφάλεια Υπολογιστικών Συστημάτων

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ασφάλεια Υπολογιστικών Συστηµάτων

Εφαρμογή Υπολογιστικών Τεχνικών στην Γεωργία

Δίκτυα Υπολογιστών Ενότητα 10: Ethernet και ARP

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

Ασφάλεια Υπολογιστικών Συστημάτων

Ειδικά Θέματα Δικτύων Ι

Ασφάλεια Πληροφοριακών Συστημάτων

Εισαγωγή στην Πληροφορική

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

ΜΗΧΑΝΙΣΜΟΙ ΠΟΙΟΤΗΤΑΣ ΥΠΗΡΕΣΙΑΣ ΣΕ ΔΙΚΤΥΑ

Σχεδιασμός Εικονικών Δικτύων Ενότητα 5: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Ζεύξης Δεδομένων (Layer 2 VPNs)

Εισαγωγή στην Κρυπτογραφία και τις Ψηφιακές Υπογραφές

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

ΕΠΛ 674: Εργαστήριο 1 Ασφάλεια Επικοινωνιακών Συστημάτων - Κρυπτογραφία

Δίκτυα Υπολογιστών Ενότητα 7: Internet Control Message Protocol - ICMP

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

Εισαγωγή στην Πληροφορική

Ασφάλεια Υπολογιστικών Συστημάτων

Ασφάλεια ικτύων (Computer Security)

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Εισαγωγή. Χρήστος Ξενάκης

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Δίκτυα Υψηλών Ταχυτήτων Ενότητα 9: MPLS

ρ. Κ. Σ. Χειλάς, ίκτυα Η/Υ ΙΙΙ, Τ.Ε.Ι. Σερρών, 2007

Παύλος Εφραιμίδης. Βασικές Έννοιες Κρυπτογραφίας. Ασφ Υπολ Συστ

Σχεδίαση Δικτύων Υπολογιστών

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

γ. Αυθεντικότητα (authentication) δ. Εγκυρότητα (validity) Μονάδες 5

Ειδικά Θέματα Προγραμματισμού

Ειδικά Θέματα Δικτύων Ι

Διπλωματική Εργασία. Γεώργιου Γκίτσα

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον

Τεχνολογία Πολυμέσων. Ενότητα # 17: Πρωτόκολλα μετάδοσης Διδάσκων: Γεώργιος Ξυλωμένος Τμήμα: Πληροφορικής

Προγραμματισμός Ηλεκτρονικών Υπολογιστών 1

ΜΑΘΗΜΑ: Δίκτυα Υψηλών Ταχυτήτων

Σχεδίαση Δικτύων Υπολογιστών

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

Κρυπτογραφία Δημόσιου Κλειδιού II Αλγόριθμος RSA

Κρυπτογραφία. Κωνσταντίνου Ελισάβετ

Συμμετρικά κρυπτοσυστήματα

Ειδικά Θέματα Δικτύων ΙΙ

Ανάλυση Δικτυακής Κίνησης Πρωτοκόλλων Υπηρεσιών. Ασφάλεια Δικτύων. (4 η άσκηση) Διαχείριση Δικτύων - Ευφυή Δίκτυα, 9 ο Εξάμηνο,

ΟΝΟΜΑ:ΧΡΥΣΑΝΘΗ ΕΠΙΘΕΤΟ:ΚΟΛΟΚΟΥΡΑ Α.Μ 10749

Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου Τμήμα Τηλεπληροφορικής & Διοίκησης

ΔΙΚΤΥΑ ΔΗΜΟΣΙΑΣ ΧΡΗΣΗΣ ΚΑΙ ΔΙΑΣΥΝΔΕΣΗ ΔΙΚΤΥΩΝ Ενότητα #11: Ασφάλεια δικτύων

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Κεφάλαιο 2. Κρυπτογραφικά εργαλεία

Transcript:

Σχεδιασμός Εικονικών Δικτύων Ενότητα 4β: VPN on IPSec (Μέρος 2ο) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα του ΤΕΙ Δυτικής Μακεδονίας και της Ανώτατης Εκκλησιαστικής Ακαδημίας Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Virtual Private Network (VPN) on Internet Protocol Security (IPSec)

Σκοποί ενότητας Σκοπός της ενότητας είναι η περιγραφή του πρωτοκόλλου IPsec. 5

Περιεχόμενα ενότητας (1/2) Πρωτόκολλο IPsec. Θέματα ασφαλείας. Υπηρεσίες. Κεφαλίδες. Καταστάσεις λειτουργίας. Τρόποι υλοποίησης. 6

Περιεχόμενα ενότητας (2/2) Συσχετίσεις ασφαλείας. Πρωτόκολλο διαχείρισης κλειδιών Internet Key Exchange (ΙΚΕ). Εφαρμογές IPsec. 7

Ασφάλεια IPsec (1/2) Το IPsec παρέχει πολλές επιλογές για την υλοποίηση κρυπτογράφησης και πιστοποίησης ταυτότητας στο δίκτυο. Κάθε IPsec σύνδεση μπορεί να παρέχει είτε κρυπτογράφηση (με Encapsulating Security payload - ESP) είτε ακεραιότητα και πιστοποίηση ταυτότητας δεδομένων (με Authentication header - AH) ή και τα δύο (με ESP όπου υπάρχει και το αντίστοιχο πεδίο αυθεντικοποίησης των δεδομένων). 8

Ασφάλεια IPsec (2/2) Όταν καθοριστεί η υπηρεσία ασφάλειας, οι δυο επικοινωνούντες κόμβοι πρέπει να καθορίσουν ακριβώς τους αλγόριθμους που θα χρησιμοποιήσουν (όπως Advanced Encryption Standard - AES ή Triple Data Encryption Standard - 3DES για κρυπτογράφηση και Message Digest 5 - MD5 ή Secure Hash Algorithm - SHA για ακεραιότητα δεδομένων). Στη συνέχεια οι δύο συσκευές πρέπει να μοιράσουν κλειδιά σύνδεσης. 9

Συσχέτιση Ασφάλειας IPsec (1/3) Το IPsec χρησιμοποιεί τη συσχέτιση ασφάλειας (Security Association SA) για την παρακολούθηση όλων των λεπτομερειών που αφορούν μία δεδομένη IPsec επικοινωνία. 10

Συσχέτιση Ασφάλειας IPsec (2/3) Είναι μια μονοσήμαντη σχέση μεταξύ δυο ή περισσοτέρων οντοτήτων που περιγράφει πώς οι οντότητες θα χρησιμοποιήσουν τις υπηρεσίες ασφάλειας για να επικοινωνήσουν με ασφάλεια. 11

Συσχέτιση Ασφάλειας IPsec (3/3) Συμφωνία των δύο άκρων για τις παραμέτρους επικοινωνίας, όπως αλγόριθμοι κρυπτογράφησης και αυθεντικοποίησης, τρόπος ανταλλαγής κλειδιών, διάρκεια ισχύος τους και άλλα. 12

Συσχέτιση Ασφάλειας IPsec Τρόπος Λειτουργίας (1/9) H συσχέτιση ασφάλειας είναι απλώς μια δήλωση της διαπραγματεύσιμης πολιτικής ασφάλειας μεταξύ δυο συσκευών. Σχήμα 1. Συσχετίσεις Ασφάλειας IPsec. 13

Συσχέτιση Ασφάλειας IPsec Τρόπος Λειτουργίας (2/9) Οι συσχετίσεις ασφάλειας είναι μη κατευθυντικές, δηλαδή για κάθε ζεύγος επικοινωνούντων συστημάτων υπάρχουν τουλάχιστον δυο συνδέσεις ασφάλειας. Mια από το Α στο Β και μια από το Β στο Α. 14

Συσχέτιση Ασφάλειας IPSec Τρόπος Λειτουργίας (3/9) Η συσχέτιση ασφάλειας αναγνωρίζεται από έναν τυχαίως επιλεγμένο μοναδικό αριθμό που ονομάζεται Δείκτης παραμέτρων ασφαλείας (Security Parameter Index - SPI) και από την Internet Protocol (ΙΡ) διεύθυνση του προορισμού. 15

Συσχέτιση Ασφάλειας IPSec Τρόπος Λειτουργίας (4/9) Σχήμα 2. Συσχέτιση ασφάλειας IPsec (περίπτωση 1 η ). 16

Συσχέτιση Ασφάλειας IPSec Τρόπος Λειτουργίας (5/9) Σχήμα 3. Συσχέτιση ασφάλειας IPsec (περίπτωση 2 η ) 17

Συσχέτιση Ασφάλειας IPsec Τρόπος Λειτουργίας (6/9) Όταν μία συσκευή στέλνει ένα πακέτο το οποίο απαιτεί IPsec προστασία κοιτάει τη συσχέτιση ασφάλειας στη βάση δεδομένων της, εφαρμόζει τη συγκεκριμένη επεξεργασία και μετά εισάγει τον Security parameter Index (SPI) από τη συσχέτιση ασφάλειας στην κεφαλίδα IPsec. 18

Συσχέτιση Ασφάλειας IPsec Τρόπος Λειτουργίας (7/9) Όταν η αντίστοιχη συσκευή IPsec λαμβάνει το πακέτο κοιτάει με τη σειρά της, τη συσχέτιση ασφάλειας στη βάση δεδομένων της (βάσει του SPI και της διεύθυνσης προορισμού) και επεξεργάζεται το πακέτο όπως ορίζεται. 19

Συσχέτιση Ασφάλειας IPsec Τρόπος Λειτουργίας (8/9) Σχήμα 4. Συσχέτιση ασφάλειας IPsec (περίπτωση 3 η ). 20

Συσχέτιση Ασφάλειας IPsec Τρόπος Λειτουργίας (9/9) Σχήμα 5. Συσχέτιση ασφάλειας IPsec (περίπτωση 4 η ). 21

Παράμετροι Συσχέτισης Ασφάλειας IPsec (1/2) Οι κύριες παράμετροι που προσδιορίζονται σε μία συσχέτιση ασφάλειας είναι. IP διεύθυνση πηγής και προορισμού. Ένα Identity (ID) χρήστη. Πρωτόκολλο μεταφοράς (Transmission Control protocol - TCP ή User datagram Protocol - UDP). Τον αλγόριθμο για έλεγχο πιστοποίησης ταυτότητας, καθώς και τα αντίστοιχα κλειδιά. 22

Παράμετροι Συσχέτισης Ασφάλειας IPsec (2/2) Οι κύριες παράμετροι που προσδιορίζονται σε μία συσχέτιση ασφάλειας είναι (Συνέχεια). Τον αλγόριθμο που χρησιμοποιείται για κρυπτογράφηση, καθώς και τα κλειδιά. Τρόπος λειτουργίας του IPsec (transfer ή tunnel mode). Διάρκεια ζωής μιας συσχέτισης ασφάλειας. 23

Πρωτόκολλο Διαχείρισης Κλειδιών (1/2) Το IPsec περιλαμβάνει, εκτός από την επεξεργασία των πακέτων μέσω των κεφαλίδων AH και ESP, και πρωτόκολλα ανταλλαγής του κλειδιού. Μετά από εξέταση πολλών εναλλακτικών λύσεων για τη διαχείριση του κλειδιού, η Internet Engineering Task Force (IETF) επέλεξε το IKE (Internet Key Exchange) σαν τον τρόπο ρύθμισης των συσχετίσεων ασφάλειας για το IPsec. 24

Πρωτόκολλο Διαχείρισης Κλειδιών (2/2) Σχήμα 6. ISAKMP formats. 25

IKE - Internet Key Exchange (1/3) Το IKE (επέκταση του προϋπάρχοντος Internet Security Association and Key Management Protocol (ISAKMP)/Oakley πρωτοκόλλου) δημιουργεί ένα πιστοποιημένο και ασφαλές κανάλι (tunnel) μεταξύ δύο οντοτήτων και κατόπιν διαπραγματεύεται τις συσχετίσεις ασφάλειας για το IPsec. 26

IKE - Internet Key Exchange (2/3) Αυτή η διαδικασία απαιτεί από τις δύο οντότητες να πιστοποιήσουν η μία την άλλη και να μοιράσουν κλειδιά. Οι δύο οντότητες πρέπει να συμφωνήσουν σε ένα κοινό πρωτόκολλο πιστοποίησης μέσω μιας κατάλληλης διαδικασίας. 27

IKE - Internet Key Exchange (3/3) Σε αυτή τη φάση υλοποιούνται συνήθως οι εξής μηχανισμοί. Προ-Μοιρασμένα Κλειδιά. Κρυπτογράφηση Δημοσίων Κλειδιών. Ψηφιακές Υπογραφές. 28

Μηχανισμοί ΙKE Προ-Μοιρασμένα Κλειδιά (1/2) Κρυπτογράφηση συμμετρικού κλειδιού. Το ίδιο κλειδί προ-εγκαθίσταται και στις δύο μηχανές. Κατά την πιστοποίηση αποστέλλεται από τη μία μηχανή στην άλλη μία επεξεργασμένη μορφή (με τη βοήθεια μιας συνάρτησης κατακερματισμού) του ίδιου κλειδιού. 29

Μηχανισμοί ΙKE Προ-Μοιρασμένα Κλειδιά (2/2) Εάν αυτή η μορφή συμπίπτει με αυτήν που υπολογίζεται τοπικά σε κάθε μηχανή, τότε η διαδικασία πιστοποίησης έχει θετικό αποτέλεσμα. 30

Μηχανισμοί ΙKE Κρυπτογράφηση Δημοσίων Κλειδιών Κάθε μηχανή παράγει έναν ψεύδο-τυχαίο αριθμό τον οποίο και κρυπτογραφεί με το δημόσιο κλειδί (public key) της άλλης μηχανής. Η πιστοποίηση επιτυγχάνεται μέσω της ικανότητας των μηχανών να υπολογίσουν μια συνάρτηση κατακερματισμού του τυχαίου αριθμού, αποκρυπτογραφώντας με τα ιδιωτικά κλειδιά (private keys) ό,τι λαμβάνουν από το συνομιλητή τους. Υποστηρίζεται μόνο ο αλγόριθμος δημοσίων κλειδιών RSA (Rivest Shamir Aldeman). 31

Μηχανισμοί ΙKE Ψηφιακές Υπογραφές (1/3) Κάθε συσκευή υπογράφει ψηφιακά ένα σύνολο δεδομένων και τα στέλνει στην άλλη. Ο αποστολέας χρησιμοποιεί το κρυφό του ιδιωτικό κλειδί για να υπογράψει ηλεκτρονικά τα δεδομένα του. 32

Μηχανισμοί ΙKE Ψηφιακές Υπογραφές (2/3) Ο αποδέκτης του κειμένου χρησιμοποιεί το public key του αποστολέα, το οποίο έτσι και αλλιώς γνωρίζει αφού είναι δημόσιο, για να ελέγξει την υπογραφή του αποστολέα. Αν αυτός ο έλεγχος είναι επιτυχής, αυτό σημαίνει ότι το κείμενο δεν έχει αλλαχθεί και έχει πιστοποιηθεί η ταυτότητα του αποστολέα. 33

Μηχανισμοί ΙKE Ψηφιακές Υπογραφές (3/3) Υποστηρίζονται τόσο ο αλγόριθμος δημοσίων κλειδιών της RSA όσο και οι προδιαγραφές ψηφιακών υπογραφών (Digital Signature Standard- DSS). 34

Ανταλλαγή Κλειδιών (1/2) Μετά την πιστοποίηση της ταυτότητας του κάθε χρήστη, πρέπει να υπάρξει η ανταλλαγή του κλειδιού που θα χρησιμοποιηθεί για την κρυπτογράφηση των δεδομένων που θα σταλούν μετέπειτα, κατά την επικοινωνία των δύο χρηστών. 35

Ανταλλαγή Κλειδιών (2/2) Ως βασικό αλγόριθμο ανταλλαγής κλειδιού το IKE υποστηρίζει τον Diffie-Hellman, που αναπτύχθηκε από τους Diffie και Hellman το 1976, αν και μπορεί να υπάρξουν και άλλοι μηχανισμοί ανταλλαγής κλειδιών. 36

Αλγόριθμος Ανταλλαγής Κλειδιού Diffie-Hellman (1/6) Επιτρέπει σε δύο χρήστες να ανταλλάσσουν ένα μυστικό κλειδί μέσα από ένα μη ασφαλές κανάλι. Είναι ένας κρυπτογραφικός αλγόριθμος δημοσίου κλειδιού. Το πρωτόκολλο έχει δύο παραμέτρους (αριθμούς): p και g. 37

Αλγόριθμος Ανταλλαγής Κλειδιού Diffie-Hellman (2/6) Το p είναι ένας πολύ μεγάλος πρώτος αριθμός και το g είναι ένας αριθμός με την ιδιότητα g k 1 mod p για όλους τους k από 1 μέχρι p-2 (δηλαδή, στοιχείο-γεννήτορας generator) στο σώμα των ακεραίων Modulo p). Τα p, g τα γνωρίζουν όλοι είναι δημοσίως γνωστά. 38

Αλγόριθμος Ανταλλαγής Κλειδιού Diffie-Hellman (3/6) Ας υποθέσουμε τώρα ότι δύο χρήστες, ο Α και ο Β, θέλουν να συμφωνήσουν για ένα μυστικό κλειδί. ο Α παράγει μία τυχαία τιμή x και ο Β μία τυχαία τιμή y. (όπου τα x, y είναι μικρότερα του p). Τα x, y κρατούνται μυστικά μόνο ο A γνωρίζει το x και μόνο ο B γνωρίζει το y. 39

Αλγόριθμος Ανταλλαγής Κλειδιού Diffie-Hellman (4/6) Ο A υπολογίζει τον αριθμό x = g x mod p και ο Β τον αριθμό y = g y mod p. Κατόπιν, ο ένας στέλνει στον άλλον τις τιμές αυτές. Ο Α κάνει τον υπολογισμό (y ) x = g xy mod p και o Β κάνει με την σειρά του τον υπολογισμό (x ) y = g xy mod p. 40

Αλγόριθμος Ανταλλαγής Κλειδιού Diffie-Hellman (5/6) Συνεπώς και οι δύο υπολογίζουν τον ίδιο αριθμό, ο οποίος θα είναι το μυστικό κλειδί που θα χρησιμοποιήσουν. 41

Αλγόριθμος Ανταλλαγής Κλειδιού Diffie-Hellman (6/6) Η ασφάλεια του πρωτοκόλλου αυτού βασίζεται στο γεγονός ότι ένας επιτιθέμενος, ο οποίος παρακολουθεί το τι ανταλλάσσουν οι A και B, δεν μπορεί από τα x, y να υπολογίσει το μυστικό κλειδί. Για να το κάνει αυτό θα πρέπει να ξέρει είτε το x είτε το y. Όμως, όταν τα p και g είναι πολύ μεγάλα, το να ξέρει κανείς το x ή το y δεν του αρκεί για να βρει το x ή το y. 42

Παράδειγμα Αλγόριθμου Diffie- Hellman (1/2) Έστω p = 257 και g = 11. Ας υποθέσουμε τώρα ότι δύο χρήστες, ο Α και ο Β, θέλουν να συμφωνήσουν για ένα μυστικό κλειδί. Ο Α παράγει μία τυχαία τιμή x = 52 και ο Β μία τυχαία τιμή y = 121 (όπου τα x, y είναι μικρότερα του p). Τα x, y κρατούνται μυστικά μόνο ο A γνωρίζει το x και μόνο ο B γνωρίζει το y. 43

Παράδειγμα Αλγόριθμου Diffie- Hellman (2/2) Ο A υπολογίζει τον αριθμό x = 11 52 mod 257 = 129 και ο Β τον αριθμό y = 11 121 mod 257 = 213. Ο A στέλνει στον B το x = 129 και ο B στέλνει στον A το y = 213. Τέλος, ο Α κάνει τον υπολογισμό (y ) x = 213 52 mod 257 = 128 και o Β κάνει τον υπολογισμό (x ) y = 129 121 mod 257 = 128. Συνεπώς και οι δύο υπολογίζουν τον ίδιο αριθμό ο οποίος θα είναι το μυστικό κλειδί που θα χρησιμοποιήσουν. 44

Βήματα Λειτουργίας IPSec (1/4) Ο ακριβής ρόλος του IKE για τη διεκπεραίωση μίας IPsec επικοινωνίας μεταξύ δυο ή περισσότερων συσκευών αντικατοπτρίζεται στην ακόλουθη διαδοχή βημάτων που λαμβάνουν χώρα σε μία Ipsec ανταλλαγή δεδομένων: 1. Ενεργοποίηση μιας IPsec συνόδου: Στο βήμα αυτό καθορίζεται το σύνολο των IP πακέτων που πρόκειται να προστατευθούν μέσω του IPsec. 45

Βήματα Λειτουργίας IPSec (2/4) 2. IKE - Πρώτη φάση: Δημιουργία και λειτουργία της IKE Συσχέτισης Ασφαλείας. 3. IKΕ Δεύτερη φάση: Δημιουργία και λειτουργία της AH/ESP Συσχέτισης Ασφαλείας. 4. Μεταφορά Δεδομένων: Τα IP πακέτα που επιλέχθηκαν από το πρώτο βήμα μεταφέρονται. 46

Βήματα Λειτουργίας IPSec (3/4) 5. Τερματισμός της IPsec συνόδου: Εφόσον ολοκληρωθεί η μεταφορά των ΙΡ πακέτων και δεν χρησιμοποιείται η παραπάνω σύνοδος, η τελευταία τερματίζεται. 47

Βήματα Λειτουργίας IPSec (4/4) Σχήμα 6. Βήματα λειτουργίας IPsec. 48

IKE - Πρώτη φάση Στην πρώτη φάση IKE μέσω των IKE Security Associations - SAs προετοιμάζεται το έδαφος για την επόμενη διαπραγμάτευση των άλλων πρωτοκόλλων ασφάλειας του IPsec (όπως το ΑΗ και το ESP πρωτόκολλο). Στην πραγματικότητα υλοποιείται η διαχείριση των κλειδιών μέσω του ΙΚΕ. 49

IKE Πρώτη φάση Κύριες Λειτουργίες (1/3) Πιστοποίηση μελών που συμμετέχουν σε μια IPsec επικοινωνία. Ανάπτυξη μιας ή περισσότερων πολιτικών ασφάλειας IKE βασισμένες στη γενική πολιτική ασφάλειας ενός οργανισμού. 50

IKE Πρώτη φάση Κύριες Λειτουργίες (2/3) Κάθε πολιτική απαιτεί την λήψη αποφάσεων για πέντε βασικές επιλογές ασφάλειας. Μέθοδος πιστοποίησης. Αλγόριθμος κρυπτογράφησης. Αλγόριθμος κατακερματισμού (για έλεγχο ακεραιότητας δεδομένων). Παράμετροι του Diffie - Hellman αλγορίθμου (που προσδιορίζει το μέγεθος κλειδιού). Διάρκεια ζωής μίας Security Association (SA). 51

IKE Πρώτη φάση Κύριες Λειτουργίες (3/3) Εκτέλεση αλγόριθμου Diffie-Hellman για την δημιουργία ενός ή περισσοτέρων κοινών μυστικών κλειδιών. Δημιουργία ασφαλούς «διόδου» (tunneling) για την ολοκλήρωση της επόμενης (δεύτερης) IKE φάσης. 52

IKE Πρώτη φάση Τρόποι Υλοποίησης (1/2) Η πρώτη φάση του IKE μπορεί να πραγματοποιηθεί με δυο τρόπους. Είτε τον κύριο τρόπο (main). Είτε τον επιθετικό τρόπο (aggressive). Με τον κύριο τρόπο (main) έχουμε συνολικά τρεις ανταλλαγές μηνυμάτων και προς τις δυο κατευθύνσεις μεταξύ των συμβαλλόμενων μερών μιας IPsec επικοινωνίας. 53

IKE Πρώτη φάση Τρόποι Υλοποίησης (2/2) Mε τον επιθετικό τρόπο (aggressive) οι παραπάνω ανταλλαγές συμπτύσσονται σε μια μόνο ανταλλαγή με τρία στάδια. Αποστολέας δέκτης. Δέκτης αποστολέας. Αποστολέας δέκτης. 54

Κύριος τρόπος υλοποίησης ΙΚΕ-1ης φάσης (1/2) Με ένα σύνολο τριών ανταλλαγών η πρώτη IKE φάση δημιουργεί ένα ασφαλές tunnel και ταυτοποιεί τα συμβαλλόμενα μέλη του. 55

Κύριος τρόπος υλοποίησης ΙΚΕ-1ης φάσης (2/2) Σχήμα 7. IKE φάση 1 η. 56

IKE Πρώτη φάση 1 η Ανταλλαγή Μηνυμάτων (1/3) Σε αυτή καθορίζονται οι αλγόριθμοι ασφάλειας (κρυπτογράφησης) και πιστοποίησης ταυτότητας, οι οποίοι πρόκειται να χρησιμοποιηθούν στα επόμενα βήματα. 57

IKE - Πρώτη φάση 1 η Ανταλλαγή Μηνυμάτων (2/3) Για κάθε μια κατεύθυνση μία ξεχωριστή Συσχέτιση Ασφαλείας (SA) δημιουργείται με πληροφορίες που περιλαμβάνουν. Τους αλγόριθμους κρυπτογράφησης και πιστοποίησης που υποστηρίζονται από το κάθε άκρο της συνομιλίας. Τον αλγόριθμο παραγωγής κοινού μυστικού κλειδιού (συμφωνία αρχικών παραμέτρων του Diffie-Hellman αλγορίθμου). Τον χρόνο διάρκειας της πρώτης ΙΚΕ φάσης. Τον τρόπο πιστοποίησης που θα χρησιμοποιηθεί (για παράδειγμα προ-μοιρασμένα κλειδιά). 58

IKE - Πρώτη φάση 1 η Ανταλλαγή Μηνυμάτων (3/3) Στο τέλος της παραπάνω διαδικασίας καθένας από τα IPsec «συνομιλούντες» διαθέτει μία κοινή IKE Συσχέτιση Ασφαλείας (SA). 59

IKE - Πρώτη φάση 2 η Ανταλλαγή Μηνυμάτων (1/2) Εφόσον επέλθει συμφωνία με τις προτεινόμενες παραμέτρους, εκτελείται ο αλγόριθμος παραγωγής κοινού μυστικού κλειδιού (Diffie-Hellman) μέσω του οποίου παράγεται ένα κλειδί που είναι κοινό και στα δύο μέρη. 60

IKE - Πρώτη φάση 2 η Ανταλλαγή Μηνυμάτων (2/2) Ο αλγόριθμος παραγωγής κοινού μυστικού κλειδιού είναι κρίσιμος στις διαδικασίες που αφορούν το IPsec πρωτόκολλο επειδή το κοινό μυστικό κλειδί χρησιμοποιείται για να κρυπτογραφήσει τα δεδομένα χρησιμοποιώντας τους βασικούς αλγορίθμους κρυπτογράφησης που διευκρινίζονται στις IPsec Συσχετίσεις Ασφαλείας SAs (π.χ. στον DES). 61

IKE - Πρώτη φάση 3 η Ανταλλαγή Μηνυμάτων Κάθε συμβαλλόμενο μέρος ταυτοποιεί το άλλο με χρήση των κατάλληλων αλγόριθμων (που έχουν οριστεί νωρίτερα). 62

IKE - Δεύτερη φάση Η δεύτερη φάση IKE πραγματοποιείται αμέσως μετά την ολοκλήρωση της πρώτης φάσης. Στην φάση αυτή εκτελούνται τα εξής. Διαπραγμάτευση μιας κοινής πολιτικής IPsec. Δημιουργία IPsec Συσχέτισης Ασφαλείας. Χρήση Κλειδιών. 63

IKE Δεύτερη φάση Κύριες Λειτουργίες (1/3) Διαπραγμάτευση μιας κοινής πολιτικής IPsec Καθορίζονται οι τρόποι χρήσης των αλγόριθμων κρυπτογράφησης (π.χ. αν θα είναι τρόπος μεταφοράς (transport mode) ή διόδου (tunnel mode, αν θα χρησιμοποιηθεί ΑΗ ή ESP). 64

IKE Δεύτερη φάση Κύριες Λειτουργίες (2/3) Δημιουργία IPsec Συσχέτισης Ασφαλείας. Στην δεύτερη IKE φάση κάθε στιγμή μπορεί να δημιουργηθεί ένα νέο IPsec SA στη περίπτωση που το προηγούμενο τερματιστεί, είτε λόγω αδυναμίας συμφωνίας των συμβαλλομένων μερών για τις παραμέτρους επικοινωνίας, είτε λόγω παρέλευσης του προκαθορισμένου χρόνου λειτουργίας ενός IPsec SA. 65

IKE Δεύτερη φάση Κύριες Χρήση Κλειδιών. Λειτουργίες (3/3) Τα κοινά μυστικά κλειδιά που δημιουργήθηκαν στη πρώτη φάση χρησιμοποιούνται για τις λειτουργίες της κρυπτογράφησης και αποκρυπτογράφησης των δεδομένων που μεταφέρονται μεταξύ των δύο IPsec συμβαλλομένων μερών. 66

Εφαρμογές IPsec (1/6) Το IPsec είναι ένα standard πρωτόκολλο για την υλοποίηση κρυπτογραφικών μηχανισμών σε δρομολογητές, τοίχους ασφαλείας (firewalls), αλλά και σε Local Area Networks - LANs ή μεμονωμένους κόμβους (hosts) που επικοινωνούν μέσω του Internet. 67

Εφαρμογές IPsec (2/6) Υποστηρίζει την ασφαλή επικοινωνία μεταξύ δύο κόμβων, όπως επίσης και μεταξύ δύο LANs, εκτός από την client /server επικοινωνία που υποστηρίζουν τα άλλα πρωτόκολλα. 68

Εφαρμογές IPsec (3/6) Επιπλέον, το IPsec είναι χρήσιμο για τη διασφάλιση της απομακρυσμένης πρόσβασης (μέσω dial-up) διασυνδέσεων VPN με απομακρυσμένα σημεία εντός εταιρικών ιδιωτικών δικτύων. 69

Εφαρμογές IPsec (4/6) Γενικά, το IPsec χρησιμοποιείται για να προσφέρει τη μέγιστη δυνατή ασφάλεια σε περιπτώσεις χρηματοπιστωτικών ιδρυμάτων, χρηματιστηριακών εταιριών, και γενικά οπουδήποτε η μεταφερόμενη πληροφορία είναι ιδιαίτερα ευαίσθητη. 70

Εφαρμογές IPSec (5/6) Επιπλέον προσφέρει εκτός της κρυπτογράφησης, πιστοποίηση της ταυτότητας των μερών που λαμβάνουν μέρος σε ένα VPN (είτε πρόκειται για τοπικά δίκτυα, είτε για μεμονωμένους χρήστες), πιστότητα στη μετάδοση των δεδομένων, και προστασία των τοπικών δικτύων από κακόβουλες επιθέσεις. 71

Εφαρμογές IPsec (6/6) Η τεχνολογία IPsec στα VPN δίκτυα, έχει γίνει ευρέως αποδεκτή και αποδεικνύεται ιδιαίτερα επιτυχημένη, αφού αποτελεί μία από τις κυριότερες ασπίδες προστασίας των δεδομένων που μεταδίδονται σήμερα στο διαδίκτυο. 72

Προβλήματα Εφαρμογής IPsec (1/2) Προβλήματα που καλείται να αντιμετωπίσει το IPsec είναι: Η αύξηση του μεγέθους των πακέτων (που σημαίνει μεγαλύτερος χρόνος επεξεργασίας τους). Η μη δυνατότητα καθορισμού συγκεκριμένων καθολικών αλγορίθμων κρυπτογράφησης (λόγω νομοθετικών δυσκολιών που αντιμετωπίζουν πολλοί αλγόριθμοι και σε διάφορες χώρες). 73

Προβλήματα Εφαρμογής IPsec (2/2) Προβλήματα που καλείται να αντιμετωπίσει το IPsec είναι (Συνέχεια). Καθώς και το γεγονός ότι εφαρμόζεται μόνο σε IP δίκτυα (που σημαίνει ότι σε κάποια υπάρχοντα ιδιωτικά δίκτυα δεν μπορεί να εφαρμοστεί). 74

Βιβλιογραφία (1/2) 1. Building a Virtual Private Network by Meeta Gupta, Publisher: Premier Press, Pub Date: 2003, Print ISBN: 1-931841-81-0. 2. Comparing, Designing, and Deploying VPNs by Mark Lewis, Publisher: Cisco Press, Pub Date: April 12, 2006, Print ISBN: 1-58705-179-6. 3. The Complete Cisco VPN Configuration Guide by Richard Deal, Publisher: Cisco Press, Pub Date: December 15, 2005, ISBN: 1-58705-204-0. 75

Βιβλιογραφία (2/2) 4. Troubleshooting Virtual Private Networks by Mark Lewis, Publisher: Cisco Press, Pub Date: May 27, 2004, Print ISBN: 1-58705-104-4. 5. CCSP self-study : Cisco Secure Virtual Private Networks (CSVPN) 2nd Edition, by Andrew G. Mason, Publisher: Cisco Press, Pub Date: May 19, 2004, Print ISBN: 1-58705-145-1. 76

Τέλος Ενότητας 77

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια