Ασφάλεια Υπολογιστικών Συστημάτων Ενότητα 5: IPSec Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ
Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας και στην Ανώτατη Εκκλησιαστική Ακαδημία Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3
Σκοποί ενότητας Αυτή η ενότητα πραγματεύεται ζητήματα σχετικά με το IPSec. 4
Περιεχόμενα ενότητας Επισκόπηση IPSec. Αρχιτεκτονική IPSec. Υπηρεσίες IPSec. Συσχετίσεις ασφάλειας. Αλγόριθμοι κρυπτογράφησης και πιστοποίησης ταυτότητας. Διαχείριση κλειδιών. Oakley. Βιβλιογραφία. 5
IPSec
Επισκόπηση IPSec (1/3) Το IPSec δεν είναι ένα πρωτόκολλο. Αντιθέτως, παρέχει ένα σύνολο αλγορίθμων ασφάλειας, καθώς και ένα γενικό πλαίσιο, που επιτρέπει την επικοινωνία δύο οντοτήτων με χρήση οποιωνδήποτε αλγορίθμων που παρέχουν κατάλληλη ασφάλεια για την επικοινωνία. 7
Επισκόπηση IPSec (2/3) Εφαρμογές του IPSec: Ασφαλής επικοινωνία δύο τμημάτων της εταιρείας μέσω του Διαδικτύου. Ασφαλής τηλεπρόσβαση μέσω του Διαδικτύου. Συνδεσιμότητα extranet (υπερενδοδικτύων) και intranet (ενδοδικτύων) με συνεργάτες. Βελτίωση της ασφάλειας για το ηλεκτρονικό εμπόριο. 8
Επισκόπηση IPSec (3/3) Πλεονεκτήματα του IPSec: Διαφανές ως προς τις εφαρμογές (κάτω από το επίπεδο μεταφοράς TCP, UDP). Παρέχει ασφάλεια για μεμονωμένους χρήστες. Το IPSec μπορεί να εξασφαλίσει ότι: Μια αναγγελία δρομολογητή ή γείτονα προέρχεται από έναν πιστοποιημένο δρομολογητή. Ένα μήνυμα ανακατεύθυνσης προέρχεται από το δρομολογητή στον οποίο είχε σταλεί αρχικά το πακέτο. Μια ενημέρωση δρομολόγησης δεν είναι πλαστή. 9
Αρχιτεκτονική IPSec Τεκμηρίωση IPSec: RFC 2401: Επισκόπηση της αρχιτεκτονικής ασφαλειας. RFC 2402: Περιγραφή μιας επέκτασης κρυπτογράφησης πακέτων στα IPv4 και IPv6. RFC 2406: Περιγραφή μιας επέκτασης κρυπτογράφησης πακέτων στα IPv4 και IPv6. RFC 2408: Προδιαγραφές για δυνατότητες διαχείρισης κλειδιών. 10
Υπηρεσίες IPSec Έλεγχος πρόσβασης. Ασυνδεσμική ακεραιότητα. Πιστοποίηση προέλευσης δεδομένων. Απόρριψη πακέτων επανεκπομπής. Απόρρητο (κρυπτογράφηση). Εμπιστευτικότητα περιορισμένης δικτυακής κίνησης. 11
Συσχετίσεις ασφάλειας (1/2) Μία μονοσήμαντη σχέση μεταξύ ενός αποστολέα και ενός παραλήπτη. Ορίζεται από τρεις παραμέτρους: Δείκτης Παραμέτρων Ασφάλειας (Security Parameter Index, SPI). Διεύθυνση IP προορισμού. Προσδιοριστικό πρωτοκόλλου ασφάλειας. 12
Συσχετίσεις ασφάλειας (2/2) Πίνακας 1. Συσχετίσεις ασφάλειας. Πηγή: Διδάσκων (2015). SA σε κατάσταση μεταφοράς SA σε κατάσταση σήραγγας AH ESP ESP με πιστοποίηση Πιστοποιείται το φορτίο ΙΡ, μέρος της κεφαλίδας IP, και οι κεφαλίδες επέκτασης IPv6. Κρυπτογραφείται το φορτίο ΙΡ και όλες οι κεφαλίδες επέκτασης IPv6 που ακολουθούν την κεφαλίδα ESP. Κρυπτογραφείται το φορτίο ΙΡ και όλες οι κεφαλίδες επέκτασης IPv6 που ακολουθούν την κεφαλίδα ESP. Πιστοποιείται το φορτίο ΙΡ, αλλά όχι η εσωτερική κεφαλίδα ΙΡ. Πιστοποιείται ολόκληρο το εσωτερικό πακέτο ΙΡ, καθώς και επιλεγμένα τμήματα της εξωτερικής κεφαλίδας και οι κεφαλίδες επέκτασης IPv6. Κρυπτογραφείται ολόκληρο το εσωτερικό πακέτο IP Κρυπτογραφείται ολόκληρο το εσωτερικό πακέτο ΙΡ. Πιστοποιείται το εσωτερικό πακέτο ΙΡ. 13
Αλγόριθμοι κρυπτογράφησης και πιστοποίησης ταυτότητας Κρυπτογράφηση: Τριπλός DES τριών κλειδιών. RC5. IDEA. Τριπλός IDEA τριών κλειδιών. CAST. Blowfish. Πιστοποίηση: HMAC-MD5-96. HMAC-SHA-1-96. 14
Διαχείριση κλειδιών Δύο τύποι: Χειρονακτική. Αυτόματη. Πρωτόκολλο προσδιορισμού κλειδιών Oakley. Πρωτόκολλο Διαχείρισης Συσχετίσεων Ασφάλειας Διαδικτύου και Κλειδιών (ISAKMP). 15
Oakley Τρεις μέθοδοι πιστοποίησης: Ψηφιακές υπογραφές. Κρυπτογράφηση δημόσιου κλειδιού. Κρυπτογράφηση συμμετρικού κλειδιού. 16
Σημείωμα Αναφοράς Copyright ΤΕΙ Δυτικής Μακεδονίας, Νικολάου Σπύρος. «Ασφάλεια Υπολογιστικών Συστημάτων». Έκδοση: 1.0. Κοζάνη 2015. Διαθέσιμο από τη δικτυακή διεύθυνση: 17
Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/by-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο. που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο. που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο. Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 18
Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς. το Σημείωμα Αδειοδότησης. τη δήλωση Διατήρησης Σημειωμάτων. το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει). μαζί με τους συνοδευόμενους υπερσυνδέσμους. 19
Βιβλιογραφία 1. Κρυπτογραφία για Ασφάλεια Δικτύων Αρχές και Εφαρμογές, Stallings. 2. Βασικές Αρχές Ασφάλειας Δικτύων: Εφαρμογές και Πρότυπα, William Stallings. 3. Ασφάλεια δικτύων 6η Έκδοση, McClure Stuart, Scambray Joel, Kurtz George. 4. Ασφάλεια Πληροφοριακών συστημάτων, Παγκαλος Γ., Μαυριδης Ι. 20
Τέλος Ενότητας