29
תתתת תתתתתתת תתתתתתתת תתתתת13 – IKE תתתת: תתתתת תתת תתתת תתתתתת תתתתת תתתתת תתתתתתתת תתתתתתת תתתת תתתתת, תתתתתתת תתתת תתתתת תתתת.

הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

  • View
    241

  • Download
    7

Embed Size (px)

Citation preview

Page 1: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות

13תרגול – IKE

הערה:

שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה

בלבד.

Page 2: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 2(c) 2007 אריק פרידמן

IKE – Internet Key Exchange

.פרוטוקול להסכמה על מפתחות:לבנות תפקיד עיקריSA משותף עבור IPsec. ממומש כאפליקציה העובדת מעלUDP 500 בפורט.:נועד לספק

סודיותאימותIdentity ProtectionPFS – Perfect Forward Secrecy

חשיפת מפתח ארוך טווח לא חושפת מפתחות קצרי טווח

Page 3: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 3(c) 2007 אריק פרידמן

סקירה - מה נראהIKE:עמיד בפני

התחזותDenial of Serviceבמקרים מסויימים ,התקפת שידור חוזרMan in the middle

Page 4: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 4(c) 2007 אריק פרידמן

סקירה - מה נראה מבנהIKE

פאזהI.יצירת ערוץ מאובטח המגן על הפאזה השנייה :Main Mode( 6)הודעות מועברות Aggressive Mode( 3)הודעות מועברות

לא מספקת הגנה כנגדDoS-ו Identity Protection.

( אימות באמצעות סוד משותףpre-shared secret)אימות באמצעות חתימות

פאזהII: Quick Mode בניית – SA עבור IPsec.

( שני צדדים: יוזםinitiator( ומגיב )responder.)

שתי דרכי הפעלה

מספר דרכי אימות

Page 5: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 5(c) 2007 אריק פרידמן

Main Mode:שלושה שלבים

משותף.SAהסכמה על 1.ISAKMP SA )Internet Security Association and Key

Management Protocol(

Diffie-Hellmanהחלפת מפתחות 2.ישמשו לגזירת המפתחות לפאזה השניה

אימות הצדדים ושני השלבים הראשונים3.

בכל שלב נשלחות שתי הודעות.Main Mode הודעות ב-6סה"כ 1.

Page 6: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 6(c) 2007 אריק פרידמן

Main Modeשלב ראשון – :הסכמה על המטרהSAמשותף

-הcookiesמחרוזות אקראיות – .מוחלפות בכל הפעלה של הפרוטוקול-משמשות כsession identifiers

איןsession-ב UDP-ה :cookies-ירשמו ב header בכל הודעה החל מהשניה

הגנה מפניDoS-רק ב( Main Mode.הרחבה בהמשך – )

initiator responder

HDR, SAi

HDR,SAr

של cookieמכיל היוזם, נסמנו

CKYiב-

רשימת אלגוריתמי הצפנה ואימות

, CKYiכולל את חדש של cookieו-

CKYrהמגיב, נסמנו

בחירה של המגיב .SAi מתוך SAל-

Page 7: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 7(c) 2007 אריק פרידמן

Main Modeשלב שני – :החלפת מפתחות המטרהDH

Ni, Nr - noncesמחרוזות אקראיות – .תפקידם להוסיף טריות להפעלה של הפרוטוקול בכל הפעלה של הפרוטוקול כל צד צריך לבחורnonce

חדש.

initiator responder

HDR, gxi,Ni

HDR,gxr, Nr

CKYi, CKYrמכיל

Page 8: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 8(c) 2007 אריק פרידמן

Main Modeשלב שלישי – :אימות הצדדים ושני השלבים הראשונים המטרה

הסרטיפיקטים הם אופציונליים.ישלחו רק באימות באמצעות חתימות

החלק שאחרי * מועבר באופן מוצפן ההצפנה נעשית ע"יSA עליו הוסכם בשלבים הראשונים - מפתח

SKEYIDe.

)רק בשלב זה הזהויות נחשפות )בחלק המוצפן

initiator responder

HDR*, IDi, [Certi], AUTHi

HDR*, IDr, [Certr], AUTHr

אימות היוזם והמגיב

אימות היוזם והמגיב

Page 9: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 9(c) 2007 אריק פרידמן

גזירת המפתחותע"י פונקציה פסאודו אקראית

PRF – pseudo random function בד"כ תמומש כפונקציית תמצות עם מפתח

()חד-כיוונית-מסכימים על הפונקציה בשלב החלפת הSA

קביעת מפתחSKEYID אימות עם סוד משותףpss )pre-shared secret(:

SKEYID = PRFpss)Ni | Nr(:אימות באמצעות חתימות

SKEYID = PRFNi | Nr)gxixr(

מחרוזת סודית – לעולם לא תועבר על הרשת

Page 10: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 10(c) 2007 אריק פרידמן

אימות הצדדים בעזרת המחרוזותAUTHr, AUTHi:

HASHi=PRFSKEYID)gxi | gxr | CKYi | CKYr | SAi | IDi(

HASHr=PRFSKEYID)gxr | gxi | CKYr | CKYi | SAi | IDr(

שתי המחרוזות כוללות אתSAi

למנוע החלפת האלגוריתמים שהוצעו בחלשים יותר

SKEYIDAUTHiAUTHr

PRFpss)Ni | Nr(HASHiHASHr:אימות עם סוד משותףPRFNi | Nr)g

xixr(Sigi)HASHi(Sigr)HASHr( אימות באמצעותחתימות:

Page 11: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 11(c) 2007 אריק פרידמן

גזירת המפתחות לפאזה השניהגוזרים שלוש מפתחות

SKEYIDd:ישמש לגזירת מפתחות בפאזה השניה –

SKEYIDd = PRFSKEYID)gxixr | CKYi | CKYr | 0)

SKEYIDa:ישמש לאימות הפאזה השניה –

SKEYIDa = PRFSKEYID)SKEYIDd | gxixr | CKYi | CKYr | 1)

SKEYIDe ישמש להצפנת הפאזה השנייה והשלב השלישי – Main Modeב-

SKEYIDe = PRFSKEYID)SKEYIDa | gxixr | CKYi | CKYr | 2)

Page 12: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 12(c) 2007 אריק פרידמן

Main Modeסיכום ביניים – IKE:מספק

– סודיותSKEYIDd.משמש להגנה על הפאזה השנייה אימות – באמצעות מחרוזותAUTH.Identity Protectionהזהויות מועברות בצורה מוצפנת –

...?מה לגבי התקפה אקטיביתPFS יצירת מפתחות – DHחדשים בכל ריצה

IKE:עמיד בפני התחזות – אימות עםpssאו חתימות Denial of Service באמצעות – cookiesנראה בהמשך , – התקפת שידור חוזרnonceחדשים בכל ריצה Man in the middleע"י חתימות על תוכן ההודעות –

Page 13: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 13(c) 2007 אריק פרידמן

Aggressive Mode:שלוש הודעות בלבד

-משמעות הסימונים כמו בMain Mode.אין הצפנות

initiator responder

HDR, SAi, gxi, Ni, IDi

HDR, SAr, gxr, Nr, IDr,, AUTHr

HDR, AUTHi

Page 14: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 14(c) 2007 אריק פרידמן

Main Mode vs. Aggressive ModeMain Mode – 6הודעות Aggressive Mode – 3הודעות :המחיר שמשלמים

Identity Protection הגנה כנגדDenial of Service

Page 15: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 15(c) 2007 אריק פרידמן

Identity Protection.הסתרה של זהויות הצדדים המשתתפים בפרוטוקול-לכאורה מתקיים תמיד בMain Mode

זהויות המשתתפים מועברות בצורה מוצפנת )בשלבהשלישי(

בפועל מתקיים רק באימות באמצעות חתימותזהויות היוזם והמגיב מוגנות כנגד התקפה פאסיביתזהות המגיב מוגנת גם כנגד התקפה אקטיבית

Page 16: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 16(c) 2007 אריק פרידמן

Identity Protection אימות עם - pss

SKEYID = PRFpss)Ni | Nr(

SKEYIDe

SKEYIDa

SKEYID

HASHi

HASHr

SKEYIDd

pss

IDi , IDr

gxixr

•xy לצורך חישוב : y יש לדעת את x

יחס טרנזיטיבי•הושמטו תלויות שחוזרות על עצמן.•

מעגל של תלויות! זיהוי היוזם נעשה ע"י

שלו:IP כתובת ה-IDi = IPi

Page 17: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 17(c) 2007 אריק פרידמן

Identity Protectionאימות עם חתימות -

SKEYID = PRFNi | Nr)gxixr(

SKEYIDe

SKEYIDa

SKEYID

HASHi

HASHr

SKEYIDdIDi , IDr

gxixr

•xy לצורך חישוב : y יש לדעת את x

יחס טרנזיטיבי•הושמטו תלויות שחוזרות על עצמן.•

AUTHi

AUTHr

privatekeys

Page 18: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 18(c) 2007 אריק פרידמן

Identity Protection התקפה – אקטיבית

initiator responder

HDR, SAi

HDR,Sar

HDR, gxi,Ni

HDR, gxr , Nr

HDR*, IDi, [Certi], AUTHi

HDR*, IDr, [Certr], AUTHr

gxr’

ניתן לפענוח

Page 19: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 19(c) 2007 אריק פרידמן

Denial of ServiceIKE דורשת חישוב מפתחות DH

פעולה יקרה התקפתDoS יזום הפעלות רבות של :IKE בפרק זמן

קצר. התוקף עצמו יכול להימנע מביצוע חישוביDH.בעצמו

בעיה לתוקף משימוש בכתובתIP:שלו .חושף את עצמו מותקף יכול להגביל מספר התקשרויות בו-זמניות המותרות

מכתובת בודדת.( בד"כ משתמשים בכתובות מקור אחרות IP Spoofing)

Page 20: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 20(c) 2007 אריק פרידמן

Denial of Serviceהגנה מפני cookies עוזרים להתגונן מפני DoS עם IP Spoofing.

-היוזם נדרש להראות שקיבל את הcookie.של השרת

initiator(attacker)IPi

responderIPr IPx

HDR)CKYi(, Sai, from IPx

HDR)CKYi,CKYr(, Sar, from IPr

don’t know CKYr, can’t continue…

Page 21: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 21(c) 2007 אריק פרידמן

הערות מחייב למנוע יכולת ניחושcookie

-בד"כ הcookies:יחושבו באופן הבא

CKYx = h)IPi, IPr, time, local_secretx(

לא יגן כאשר התוקף משתמש בכתובותIP של רשת בה הוא יושב.

ניתן להתגונן ע"י הגבלת מספר הפעלותIKE ברמת הרשת.

לא יגן בפניIP Spoofingדו-כיווני – בקורס.התקפה זו לא תחשב סבירהמורכב מאוד

Page 22: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 22(c) 2007 אריק פרידמן

תזכורת מבנהIKE

פאזהI.יצירת ערוץ מאובטח המגן על הפאזה השנייה :Main Mode( 6)הודעות מועברות Aggressive Mode( 3)הודעות מועברות

לא מספקת הגנה כנגדDoS-ו Identity Protection.

( אימות באמצעות סוד משותףpre-shared secret)אימות באמצעות חתימות

פאזהII: Quick Mode בניית – SA עבור IPsec.

נתמקד כעת בפאזה השנייה.

שתי דרכי הפעלה

מספר דרכי אימות

Page 23: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 23(c) 2007 אריק פרידמן

פאזה שנייה:הסכמה על מטרהIPsec SA. הפאזה מאובטחת ע"יISAKMP SA

.עליו הוסכם במהלך הפאזה הראשונה ניתן להשתמש בהפעלה אחת של פאזה ראשונה עבור

מספר הפעלות של הפאזה השנייה.

Page 24: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 24(c) 2007 אריק פרידמן

(Quick Modeהודעות פאזה שנייה )

* מוצפן המידע לאחר באמצעותSA( מפאזה ראשונה SKEYIDe)

HASHiמחרוזות לאימות ההודעות – SA עבור – IPsec יכיל גם – SPI( וסוג פרוטוקול ESP/AH)IDi,IDr-זהויות הצדדים אותם ישמש ה – IPsec.עליו מסכימים

.אופציונאלי - למקרה ששונות מאלה שהוחלפו בפאזה הראשונה

initiator responder

HDR*, HASH1, SA, Ni, [gxi], [IDi,IDr]

HDR*, HASH2, SA, Nr, [gxr], [IDi,IDr]

HDR*, HASH3

Page 25: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 25(c) 2007 אריק פרידמן

חישוביםHASH1 = PRFSKEYIDa)MID | SA | Ni | [gxi] | [IDi | IDr] (

HASH2 = PRFSKEYIDa)MID | Ni | SA | Nr | [gxr] | [IDi | IDr] (

HASH3 = PRFSKEYIDa)0 | MID | Ni | Nr(

MID מזהה של הפעלה מסוימת של – Quick Mode. המפתחות עבורIPsec SA:

KEYMAT = PRFSKEYIDd)[gxixr] | protocol | SPI | Ni | Nr (

protocol – ESP/AH.-המפתח המתאים לכל כיוון שליחה יחושב ע"י הSPI של

הצד השולח.

Page 26: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 26(c) 2007 אריק פרידמן

IKEשאלה על חברת הי-טק מעוניינת לאפשר לעובדיה להתחבר

אל שרתי החברה. העובדיםIPsecבעזרת -מתחברים כל אחד לספק הInternet החביב עליו

(Netvision)אינטרנט זהב, וכיוצ"ב , מבצעיםIKE-מול ה security gateway.של החברה -מאבטחים את כל תעבורת הIP שלהם בעזרת IPsec.

החברה החליטה כי איננה יכולה לעמוד בהוצאות, ולכן מנהל הרשת הקצה לכל CAהכרוכות ברכישת

.IKE pre-shared secretאחד מהעובדים זמנית – IPהערה: ספקי אינטרנט מספקים ללקוחות הפונים אליהם כתובות

חדשה.IPבכל התחברות מקבל הלקוח כתובת

Page 27: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 27(c) 2007 אריק פרידמן

- המשךIKEשאלה על אינו מתאים לשימוש במקרה IKE main modeהסבר מדוע 1.

זה.

ולא IKE main modeהסבר מתי יעדיף משתמש לעבוד עם 2..IKE aggressive modeעם

עקב מצוקת הגיוס של עובדי הי-טק, החלה החברה לנסות 3.לגייס באופן פעיל עובדים ממתחרותיה. מנהלים בחברה

נסעו אל אתרים של המתחרות וקיימו פגישות אינטנסיביות )וסודיות( עם עובדיהן של המתחרות. מנכ"ל החברה אסר

על המנהלים המגייסים להתקשר אל שרתי החברה כל זמן שהם נמצאים באתרי החברות המתחרות.

הסבר מדוע.

Page 28: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 28(c) 2007 אריק פרידמן

- המשךIKEשאלה על אחד המנהלים שלא השלים עם תחושת הניתוק הציע 4.

על כל היחידות בחברה IKEלהריץ גרסה מיוחדת של . הוא הציע לשנות את הגדרת IPsecשמשתמשות ב-

SKEYID עם pre-shared secret authentication בצורה הבאה:

SKEYID = PRFNi | Nr)gxixr(

Mainהאם הגרסה המיוחדת פותרת את בעיית ההתקשרות עם 4.Mode.הסבר את תשובתך ?

.IKEהראה התקפה על הגרסה המיוחדת של 5.

Page 29: הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס,

הגנה במערכות מתוכנתות - תרגול 13 29(c) 2007 אריק פרידמן

- המשךIKEשאלה על מנהל אחר שהזדהה עם רגשות חברו הציע את השינוי 5.

שמוגדר בסעיף SKEYIDהבא: בנוסף לשינוי החישוב של כאשר HASHr ו-HASHiד', תשונה גם צורת חישובים של

.pre-shared secret authenticationמשתמשים ב-

דרך החישוב החדשה היא:HASHi = PRFSKEYID | pre-shared-secret)gxi | gxr | CKYi | CKYr | SAi | IDi(

HASHr = PRFSKEYID | pre-shared-secret)gxr | gxi | CKYr | CKYi | SAi | IDr(

Mainהאם הגרסה החדשה פותרת את בעיית ההתקשרות ב-5.Mode!הסבר מדוע ?

אפשרית כעת? הסבר!2האם ההתקפה שתיארת בסעיף ד'6.