Presentation is loading. Please wait.

Presentation is loading. Please wait.

תרגול 11 – אבטחה ברמת ה-IP – IPsec

Published byEdmond Simon Modified over 5 years ago

Similar presentations

Presentation on theme: "תרגול 11 – אבטחה ברמת ה-IP – IPsec"— Presentation transcript:

1 תרגול 11 – אבטחה ברמת ה-IP – IPsec
הגנה במערכות מתוכנתות תרגול 11 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

2 הגנה במערכות מתוכנתות - תרגול 11
שירותי אבטחה של IPsec Application Data TCP/UDP IPsec IP MAC סודיות ההודעות באמצעות הצפנות אימות ושלמות המידע ע"י חישוב MAC. אימות השולח ההצפנות וה-MAC תלויים במפתח סימטרי סודי הגנה כנגד replay attack ע"י מספר סידורי שיצורף לכל חבילה (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

3 הגנה במערכות מתוכנתות - תרגול 11
סקירה - מה נראה איך משתמשים ב-IPsec Transport Mode – הגנה מקצה לקצה Tunnel Mode – הגנה בין רשתות מבנה IPsec – שני תתי-פרוטוקולים ESP – הצפנה ו/או אימות ובדיקת שלמות המידע AH – אימות ובדיקת שלמות מידע מבני הנתונים בהם IPsec משתמש SAD – רשומות הנחוצות להגנה על התקשורת SPD – מדיניות הטיפול בחבילות IKE – פרוטוקול להסכמה על מפתחות (בתרגול הבא) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

4 אופני הפעולה של IPsec: Transport Mode Tunnel Mode
הגנה במערכות מתוכנתות - תרגול 11

5 הגנה במערכות מתוכנתות - תרגול 11
Transport Mode המטרה : לספק בטיחות מקצה לקצה כאשר x רוצה לשלוח חבילה ל-y: מחשב x יפעיל IPsec על החבילה, ישלח אותה ל-y. מחשב y יאמת ויפענח את החבילה. החבילה מוגנת בפרט בתוך הרשתות A ו-B. Internet Network A Network B x y החבילה מאובטחת לאורך כל המסלול מ-x ל-y (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

6 מבנה החבילה ב-Transport Mode
חבילה סטנדרטית Application TCP/UDP IPsec IP: x y MAC Application TCP/UDP IP MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

7 הגנה במערכות מתוכנתות - תרגול 11
Tunnel Mode המטרה : לספק בטיחות מחוץ לרשת הפנימית מופעל ע"י security gateways ביציאה מהרשתות GWA ו-GWB מפעילים IPsec על החבילות: Internet Network A Network B x y החבילה מאובטחת בין GWA ל-GWB בלבד GWA GWB (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

8 מבנה החבילה ב-Tunnel Mode
x y GWA GWB Network A Network B Internet GWA-GWB Tunnel Application TCP/UDP IP: x y IPsec IP: GWA GWB MAC Application TCP/UDP IP: x y MAC Application TCP/UDP IP: x y MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

9 Tunnel Mode vs. Transport Mode
יתרונות של Tunnel Mode על-פני Transport Mode: מספיק להתקין IPsec רק על ה-Security Gateways. קל יותר לנהל מדיניות בטיחות ברשת. השימוש ב-IPsec שקוף למחשבים ברשת הפנימית. במקרה של הצפנה, הכתובות הפנימיות ברשת מוסתרות. חסרון של Tunnel Mode לעומת Transport Mode: אין הגנה על החבילות בתוך הרשתות. (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

10 דוגמאות לשימוש ב-Tunnel Mode
(c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

11 VPN – Virtual Private Network
רשת וירטואלית מוגנת על-גבי רשת ציבורית (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

12 הגנה במערכות מתוכנתות - תרגול 11
Tunnel in Tunnel מספר רמות אבטחה ברשת למשל, מדיניות החברה: יש להצפין כל חבילה יוצאת מ-A ל-B. יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים. Internet Network A Network B m z GWB GWM GWA Subnet M (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

13 איך יראו החבילות במקרה זה?
m z GWA GWB Subnet M Network B Internet GWM Network A A-B Tunnel M-B Tunnel Application TCP/UDP IP: m z IPsec IP: GWM GWB IP: GWA GWB MAC Application TCP/UDP IP: m z IPsec IP: GWM GWB MAC Application TCP/UDP IP: m z MAC Application TCP/UDP IP: m z MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

14 דוגמאות לשימוש ב-Tunnel Mode
Tunnel Mode מול מחשב שאינו מאחורי Gateway לדוגמה, מנהל שרוצה להתחבר לרשת מהבית. המחשב שלו יצטרך לשמש כ-gateway של עצמו. Network A m GWM GWA Internet Subnet M w (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

15 מבנה הנתונים SAD Security Association Database
הגנה במערכות מתוכנתות - תרגול 11

16 SAD – Security Association DB
רשומות הכוללות מידע הנחוץ לצורך ההגנה על התקשורת תוך שימוש ב-IPsec כל רשומה נקראת SA (Security Association) לכל session יהיה זוג SA בכל מחשב: אחד עבור חבילות נכנסות של ה-Session אחד עבור חבילות יוצאות של ה-Session לכן ה-SAD יהיה מורכב משני חלקים: Outgoing SAD (SA לחבילות יוצאות) Incoming SAD (SA לחבילות נכנסות) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

17 הגנה במערכות מתוכנתות - תרגול 11
מה כולל SA? כל רשומה מכילה: אלגוריתמי הצפנה ו-MAC מפתחות עבור האלגוריתמים Sequence Number Lifetime SPI (Security Parameter Index) האינדקס של ה-SA הנוכחי אצל הצד השני (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

18 הגנה במערכות מתוכנתות - תרגול 11
ויותר בפירוט... User A’s SAD SA Data User SPI 1 …,SPI=22 B 17 …,SPI=5 Y 38 User B’s SAD SA Data User SPI 1 …,SPI=13 A 24 …,SPI=20 X 25 Outgoing SAD Outgoing SAD SA Data User SPI 1 B 13 Y 44 SA Data User SPI 1 A 22 X 25 Incoming SAD Incoming SAD (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

19 הגנה במערכות מתוכנתות - תרגול 11
תתי הפרוטוקולים של IPsec: ESP (Encapsulating Security Payload) AH (Authentication Header) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

20 ESP (Encapsulating Security Payload)
מבצע הצפנה ו/או אימות של מידע. הגנה בפני Replay Attack לאיזה שכבה יש להעביר את החבילה (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

21 הגנה במערכות מתוכנתות - תרגול 11
הערות בשליחת חבילה קודם מצפינים ורק אח"כ מחשבים אימות בקבלת החבילה אם האימות נכשל חסכנו זמן פענוח שימוש בהצפנה יוצר בעיה ליישומים כמו PF Firewall שימוש ב-Tunnel Mode מאפשר להסתיר מבנה פנימי של רשת פרטית ESP מוסיף לא רק ESP Header אלא גם trailer (Authentication data) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

22 AH (Authentication Header)
האימות מבוצע על: כל השכבות שמעל ל-AH. כל השדות של ה-AH Header פרט ל-Authenticaion Data שמאופס לצורך החישוב ה-IP Header שמופיע מתחת ל-AH Header. חלק מהשדות מאופסים. Application TCP/UDP IPsec IP: x y MAC Reserved Payload Length Next Protocol SPI Sequence Number Authentication Data (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

23 הגנה במערכות מתוכנתות - תרגול 11
ESP vs. AH AH מבצע אימות על מידע רב יותר מאשר ESP. למרות זה, האימות שלו אינו טוב יותר! כל התקפה שניתן לבצע על ESP, ניתן לבצע גם על AH. השימוש ב-AH עלול ליצור בעיה לפרוטוקולים אחרים לדוגמה, פרוטוקול NAT. (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

24 הגנה במערכות מתוכנתות - תרגול 11
פרוטוקול NAT נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות IP. בתוך הרשת A מוקצות כתובות IP מקומיות. לא בהכרח כתובות חוקיות ביציאה מרשת הארגון, שרת ה-NAT מחליף כתובת מקומית ברשת שהוקצתה לרשת A (כנ"ל בכניסה לרשת) Internet Network A x y NAT (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

25 פרוטוקול NAT - דוגמה y x NAT Server Network A Internet Application
TCP/UDP IP: IPx IPy MAC Application TCP/UDP IP: IPA IPy MAC שינוי כתובת ה-IP ע"י שרת ה-NAT פוגע באימות של AH: y יזרוק את החבילה... (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

26 SPD (Security Policy Database)
הגנה במערכות מתוכנתות - תרגול 11

27 SPD מגדיר את מדיניות ההגנה של המערכת.
יש SPD עבור תעבורה נכנסת, ו-SPD עבור תעבורה יוצאת. טבלת חוקים המוגדרת ע"י מנהל מערכת דומה לטבלאות של Packet Filtering Firewall (בפרט אפשר להשתמש ב-SPD כ-Firewall כזה): 3 אפשרויות עבור שדה Action: drop – חבילה נזרקת forward – חבילה עוברת בצורה רגילה secure – חבילה עוברת לאחר הפעלת IPsec SPD מגדיר גם את אופן הפעלת IPsec (AH/ESP, SPI, הפעלת IKE,...) ניתן להשתמש ב-WildCards. Additional Parameters Action Destination Port Source Next Protocol Address Rule מה עושים אם SPD מחזיר secure עבור חבילה נכנסת ללא IPsec? (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

28 התמונה הכללית – שליחת חבילה
(c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

29 התמונה הכללית – קבלת חבילה
למה צריך לבדוק את זה אם כבר פענחנו את החבילה?!? (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

30 הגנה במערכות מתוכנתות - תרגול 11
בדיקת SPI – למה? x w telnet data TCP IPsec: SPI = SPIx-w IP: y w MAC מניעת התחזות (IP Spoofing) w מרשה ל-x ול-y לבצע telnet אליו אבל הם חייבים להוסיף אימות.  מונעים מ-x לבצע IP Spoofing על הכתובת של y. מניעת עקיפת מדיניות מערכת ל-x מותר לבצע telnet ל-w רק עם אימות. ל-x אסור לבצע http ל-w.  מונעים מ-x לשלוח http. x w http data TCP: dest. port 80 IPsec: SPI = SPItelnet IP: x w MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11

Download ppt "תרגול 11 – אבטחה ברמת ה-IP – IPsec"

Similar presentations

Computer Science CSC 474Dr. Peng Ning1 CSC 474 Information Systems Security Topic 4.2: IPsec.

Computer Science CSC 474Dr. Peng Ning1 CSC 474 Information Systems Security Topic 4.2: IPsec.
CS470, A.SelcukIPsec – AH & ESP1 CS 470 Introduction to Applied Cryptography Instructor: Ali Aydin Selcuk.

CS470, A.SelcukIPsec – AH & ESP1 CS 470 Introduction to Applied Cryptography Instructor: Ali Aydin Selcuk.
Internet Security CSCE 813 IPsec

Internet Security CSCE 813 IPsec
IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.

IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.

IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
Network Security. Reasons to attack Steal information Modify information Deny service (DoS)

Network Security. Reasons to attack Steal information Modify information Deny service (DoS)
IP SECURITY – Chapter 16 IP SECURITY – Chapter 16 Security Mechanisms: email – S/MIME, PGP client/server - Kerberos web access - Secure Sockets Layer network.

IP SECURITY – Chapter 16 IP SECURITY – Chapter 16 Security Mechanisms: – S/MIME, PGP client/server - Kerberos web access - Secure Sockets Layer network.
McGraw-Hill © ©The McGraw-Hill Companies, Inc., 2004 Chapter 31 Security Protocols in the Internet.

McGraw-Hill © ©The McGraw-Hill Companies, Inc., 2004 Chapter 31 Security Protocols in the Internet.
1 Lecture 15: IPsec AH and ESP IPsec introduction: uses and modes IPsec concepts –security association –security policy database IPsec headers –authentication.

1 Lecture 15: IPsec AH and ESP IPsec introduction: uses and modes IPsec concepts –security association –security policy database IPsec headers –authentication.
IP Security. Overview In 1994, Internet Architecture Board (IAB) issued a report titled “Security in the Internet Architecture”. This report identified.

IP Security. Overview In 1994, Internet Architecture Board (IAB) issued a report titled “Security in the Internet Architecture”. This report identified.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.

IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
IP Security. IPSEC Objectives n Band-aid for IPv4 u Spoofing a problem u Not designed with security or authentication in mind n IP layer mechanism for.

IP Security. IPSEC Objectives n Band-aid for IPv4 u Spoofing a problem u Not designed with security or authentication in mind n IP layer mechanism for.
K. Salah1 Security Protocols in the Internet IPSec.

K. Salah1 Security Protocols in the Internet IPSec.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.

IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.

IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 23 Virtual Private Networks (VPNs)

Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 23 Virtual Private Networks (VPNs)
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.

_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
IPSec in a Multi-OS Environment. What is IPSec? IPSec stands for Internet Protocol Security It is at a most basic level a way of adding security to your.

IPSec in a Multi-OS Environment. What is IPSec? IPSec stands for Internet Protocol Security It is at a most basic level a way of adding security to your.
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.

_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
1 Network Security Lecture 8 IP Sec Waleed Ejaz

1 Network Security Lecture 8 IP Sec Waleed Ejaz

Similar presentations

Ads by Google