115
Corso di Laurea Specialistica in Ingegneria Informatica Corso di Reti di Calcolatori II Docente: Simon Pietro Romano [email protected] La suite di protocolli ‘IPsec’

Corso di Laurea Specialistica in Ingegneria Informatica Corso

  • Upload
    others

  • View
    8

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Corso di Laurea Specialistica in Ingegneria Informatica

Corso di Reti di Calcolatori II

Docente: Simon Pietro [email protected]

La suite di protocolli ‘IPsec’

Page 2: Corso di Laurea Specialistica in Ingegneria Informatica Corso

CREDITS

Tutto il materiale didattico utilizzato per questa lezione è statopreparato in collaborazione con:

• Claudio Mazzariello• Francesco Oliviero

2IP Security 2

• Il contenuto di queste slide è tratto dal seguente testo:• Willian Stallings, “Crittografia e Sicurezza delle reti”, Mc Graw Hill, II Edizione

• Cap. 16, “La Sicurezza IP”

Page 3: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Panoramica sulla sicurezza IP

1994 – IAB (Internet Architecture Board) – “Security in the Internet Architecture” (RFC 1636)

• Consenso sulla necessità di migliorare il livello di sicurezza di internet• Identificazione delle aree chiave per i meccanismi di sicurezza• Necessità di evitare monitoraggio non autorizzato del traffico• Necessità di rendere sicuro il traffico in transito mediante meccanismi di

autenticazione e crittografia2003 – CERT (Computer Emergency Response Team)

3

2003 – CERT (Computer Emergency Response Team) – Più di 137000 incidenti legati alla sicurezza

– Gravi attacchi perpetrati utilizzando IP spoofing– Sfruttamento delle applicazioni che utilizzano l’autenticazione basata su indirizzo

IP

– Lesioni del diritto alla privacy mediante intercettazione del traffico

• Informazioni di login• Contenuto di DB• Contenuto di pagine Web• …

3IP Security

Page 4: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Obiettivi

“Rattoppo” per IPv4– Lo Spoofing è un problema serio e concreto

– Il protocollo non è stato progettato con l’idea dell’autenticazione e della sicurezza

– Il contenuto dei datagrammi può essere intercettato

– Il contenuto dei datagrammi può essere modificato

4

– Il contenuto dei datagrammi può essere modificato

– Le reti IPv4 possono essere soggette ad attacchi di tipo replay

Meccanismi di livello rete per IPv4 ed IPv6 – Non necessariamente tutte le applicazioni devono supportare meccanismi di sicurezza

Può essere trasparente agli utenti

4IP Security

Page 5: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Security a differenti livelli

Link layer: WEP / 802.11iApplication layer: PGPTransport layer: SSLNetwork layer: IPsec Approccio IPSec:

IP Security 5

IPSec

TCP/UDP/ICMP

HTTP/SMTP/IM

Page 6: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Sicurezza a diversi livelli dello stack TCP/IP

Posta elettronica– S/MIME

– PGP

Comunicazioni client/server– Kerberos

Accessi al Web– SSL

6

– SSL

– …

Rete TCP/IP privata sicura– Restrizioni di accesso ai siti Web

– Crittografia dei pacchetti in uscita

– Autenticazione dei pacchetti in entrata

Sicurezza a livello IP– Gestione sicura della rete per applicazioni “security-unaware”

6IP Security

Page 7: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Concetti essenziali

� Funzioni di sicurezza per l’estensione di IPv4 & IPv6� Tre aree funzionali:

– Autenticazione

• Un datagramma ricevuto è stato realmente trasmesso dallasorgente indicata nell’intestazione

• Il datagramma non è stato alterato durante il transito

7

• Il datagramma non è stato alterato durante il transito

– Segretezza

• Crittografia dei messaggi

• Prevenzione delle intercettazioni

– Gestione delle chiavi

• Scambio sicuro delle chiavi usate per la realizzazione dei servizidi sicurezza

7IP Security

Page 8: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Concetti essenziali (cont.)

Autenticazione– Applicata all’intero datagramma IP � modalità tunnel

– Datagramma esclusa l’intestazione � modalità transport

Segretezza– Encapsulating security payload (ESP)

– Authentication header (AH)

8

– Authentication header (AH)

Gestione delle chiavi

Trasparenza alla rete– Solo gli end-point della comunicazione devono essere abilitati all’utilizzo di IPSec

8IP Security

Page 9: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Applicazioni di IPSec

Connettività sicura delle sedi locali via internet– Rete privata virtuale attraverso reti geografiche pubbliche

– Ridotta necessità di reti private

• Risparmio in costi di esercizio e gestione della reteAccesso remoto sicuro via Internet

– Un utente finale chiama un ISP locale ed acquisisce un accesso sicuro alla rete aziendale

9

alla rete aziendale

– Riduzione dei costi telefonici per tele-lavoratori e dipendenti spesso in viaggio

Attivazione della connettività extranet e intranet con partner commerciali– Comunicazioni sicure con altre aziende e partner commerciali mediante

meccanismi di autenticazione, segretezza e scambio di chiavi

Miglioramento della sicurezza del commercio elettronico– Applicazioni Web utilizzano protocolli interni per la sicurezza

9IP Security

Page 10: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Scenario d’uso di IPSec

Utente remoto

10IP Security

Sede principale Filiale

Page 11: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Vantaggi di IPSec

• IPSec implementato in un firewall o un router fornisce un elevato livello disicurezza a tutto il traffico che attraversa il perimetro– Il traffico interno al perimetro non subisce il sovraccarico dell’elaborazione per la

sicurezza• IPSec in un firewall è difficile da eludere se tutto il traffico proveniente

dall’esterno transita su IP ed il firewall è l’unico mezzo di ingresso daInternet

• IPSec è situato sotto al livello trasporto e risulta trasparente alleapplicazioni

11

applicazioni– Non sono richieste modifiche ai software degli utenti finali o sui server se IPSec è

implementato in un router/firewall di bordo– IPSec implementato negli host terminali non influenza comunque le applicazioni

sovrastanti• IPSec è trasparente agli utenti finali

– Nessuna necessità di addestramento alla sicurezza– Nessuna informazione sulle chiavi e sulla loro esistenza

• IPSec può garantire la sicurezza dei singoli utenti– Utile ai lavoratori fuori sede– Utile per la configurazioni di sottoreti virtuali

11IP Security

Page 12: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Supporto alle applicazioni di routing

• IPSec può fornire garanzie nell’utilizzo di algoritmi di routing– Messaggio di pubblicizzazione di un nuovo router proviene da un router autorizzato

– Messaggio di pubblicizzazione di un ‘vicino’ proviene da un router autorizzato

– Messaggio di redirezione proviene dal router al quale è stato inviato

12

– Messaggio di redirezione proviene dal router al quale è stato inviatoun pacchetto

– Aggiornamento delle informazioni di routing non falsificato

IP Security 12

Page 13: Corso di Laurea Specialistica in Ingegneria Informatica Corso

13/18

ARCHITETTURA DI IPSEC

IP Security

Page 14: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Documentazione IPSec

Numerose RFC (novembre 1998, aggiornate nel dicembre 2005...) – RFC 2401: panoramica dell’architettura di IPSec

– RFC 2402: estensione per l’autenticazione dei datagrammi in IPv4 edIPv6 (AH)

– RFC 2406: estensione per la crittografia dei pacchetti in IPv4 ed IPv6 (ESP)

14

(ESP)

– RFC 2408: specifiche della funzionalità di gestione delle chiavi(ISAKMP)

– RFC 2412: specifiche della funzionalità di gestione delle chiavi(Oakley)

IP Security 14

Page 15: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Documentazione IPSec

• Supporto opzionale in IPv4• Supporto obbligatorio in IPv6

• Funzionalità di sicurezza implementate come extension headerimmediatamente successivo all’intestazione IP:– Autentication Header (AH) – extension header per l’autenticazione

15

– Autentication Header (AH) – extension header per l’autenticazione

– Encapsulating Security Payload (ESP) – extension header per la crittografia

IP Security 15

Page 16: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Documentazione IPSec – suddivisione in 7 gruppi

• Architettura– Concetti generali

– Requisiti di sicurezza

– Definizioni e meccanismi

• ESP (Encapsulating Security Payload) – Formato del pacchetto

16

– Formato del pacchetto

– Elementi generali di autenticazione e crittografia del pacchetto

• AH (Authentication Header) – Formato del pacchetto

– Elementi generali di autenticazione del pacchetto

IP Security 16

Page 17: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Documentazione IPSec – suddivisione in 7 gruppi (cont.)

Algoritmi di crittografia– Utilizzo degli algoritmi di crittografia in ESP

Algoritmi di autenticazione– Utilizzo degli algoritmi di autenticazione in AH ed ESP

Gestione delle chiavi– Descrizione dei meccanismi di gestione delle chiavi

17

– Descrizione dei meccanismi di gestione delle chiavi

DOI (Domain Of Interpretation) – Relazioni fra i documenti

– Identificatori per gli algoritmi di crittografia

– Identificatori per gli algoritmi di autenticazione

– Parametri operativi

• Es. durata delle chiavi

IP Security 17

Page 18: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Documentazione IPSec – suddivisione in 7 gruppi

18IP Security 18

Page 19: Corso di Laurea Specialistica in Ingegneria Informatica Corso

I servizi di IPSec

• Selezionare i protocolli di sicurezza richiesti• Determinare gli algoritmi da utilizzare per i servizi• Determinare gli algoritmi da utilizzare per la gestione delle

chiavi

• Authentication Header

19

• Authentication Header– Autenticazione mediante intestazione del protocollo

• Encapsulating Security Payload– Autenticazione e crittografia stabiliti dal formato del pacchetto

IP Security 19

Page 20: Corso di Laurea Specialistica in Ingegneria Informatica Corso

I servizi di IPSec

• Controllo degli accessi• Integrità dei dati in protocolli connectionless• Autenticazione dell’origine dei dati• Rifiuto del replay dei pacchetti

– Forma di integrità parziale della sequenza

• Segretezza

20

• Segretezza– Crittografia

• Segretezza parziale del flusso del traffico

IP Security 20

Page 21: Corso di Laurea Specialistica in Ingegneria Informatica Corso

I servizi di IPSec

AH ESP (solo crittografia)

ESP (crittografia ed autenticazione)

Controllo degli accessi

X X X

Integrità senza connessione

X X

Autenticazione X X

21

Autenticazione origine dei dati

X X

Rifiuto pacchetti a replay

X X X

Segretezza X X

Segretezza parziale del flusso

X X

IP Security 21

Page 22: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Security Associations (SA)

• Una SA è una relazione monodirezionale fra un mittente ed un destinatario– Due SA necessarie per uno scambio bidirezionale

• Una SA è utilizzata per AH o per ESP, ma mai per entrambi• Prima dell’invio dei dati, una connessione virtuale viene stabilita

fra due end-point IPSec

22

fra due end-point IPSec– Stato della connessione ad ogni end-point, come in TCP

– La connessione è denominata security association (SA)

22

IP è connectionless; IPSec è connection-oriented!

Page 23: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Security Associations (SA)

• Una SA è identificata univocamente da tre parametri– Security Parameters Index (SPI)

• Stringa di bit assegnata alla SA– Significato esclusivamente locale

• Trasportato nelle intestazioni AH o ESP per consentire al destinatario la selezione della SA appropriata

23

– Indirizzo IP del destinatario

• Attualmente consentito solo l’impiego di indirizzi unicast– Destinazione finale della SA

» Firewall

» Router

» Utente finale

– Identificatore del protocollo di sicurezza

• Indica se la SA è di tipo AH o ESP

IP Security 23

Page 24: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Security Associations (SA)

• Per ogni datagramma IPv4 o pacchetto IPv6 l’associazione disicurezza è identificata univocamente:• dall’indirizzo di destinazione nell’intestazione IPv4 o IPv6• dal parametro SPI nell’intestazione di estensione AH o ESP

• Meccanismo di gestione della chiave affiancato a meccanismi diautenticazione e privacy tramite il Security Parameters Index

24

autenticazione e privacy tramite il Security Parameters Index– Meccanismi di autenticazione e privacy indipendeti da meccanismi digestione della chiave

IP Security 24

Page 25: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Parametri di una SA

• Security Association Database (SAD), contiene i parametrirelativi a ciascuna SA– La funzionalità deve essere disponibile

– L’implementazione può variare

• sequence number counter

25

– Valore a 32 bit contenente un sequence number per l’intestazione AH o ESP (obbligatorio)

• sequence counter overflow flag– Indica se un overflow del campo Sequence Number Counter deve generare

un evento di audit ed impedire ulteriori trasmissioni sulla SA (obbligatorio)

• anti-replay window– Utilizzato per determinare se un pacchetto AH o ESP in ingresso è un replay

25

Page 26: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Parametri di una SA

• AH information– Algoritmo di autenticazione, chiavi, durata delle chiavi, ecc... (obbligatorio per AH)

• ESP information– Algoritmo di crittografia ed autenticazione, chiavi, valori di inizializzazione, durata

delle chiavi, ecc... (obbligatorio per ESP)

• lifetime– Intervallo di tempo o conteggio in byte oltre il quale la SA deve essere sostituita

26

– Intervallo di tempo o conteggio in byte oltre il quale la SA deve essere sostituitada una nuova SA con un nuovo SPI o chiusa

– Include l’indicazione dell’azione da eseguire

• IPSec protocol mode– Modalità tunnel o trasporto

– Consente l’utilizzo di wildcard

• path MTU– MTU massima lungo il percorso sorgente-destinazione

– Variabili relative alla durata di validità

26

Page 27: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Selettori delle Security Associations

• Più SA possono essere combinate per fornire la configurazione desiderata• Elevato livello di granularità nella distinzione fra traffico protetto da IPSec

e traffico non protetto• Traffico IP associato alle SA mediante il Security Policy Database (SPD)

– Ogni elemento definisce un sottoinsieme del traffico IP

– Ogni elemento punta alla SA da applicare al traffico identificato

– Più voci possono essere collegate alla stessa SA

– Più SA possono essere relative alla stessa voce nel SPD

27

– Più SA possono essere relative alla stessa voce nel SPD

– Ogni voce è definita mediante campi IP e di livello superiore chiamati selettori• destination IP address (single, enumerated list, range, o mask) • source IP address (single, enumerated list, range, o mask) • transport layer protocol (single, enumerated list, o range) • destination port (single, enumerated list, range, o wildcard) • source port (single, enumerated list, range, o wildcard) • UserID ottenuto dal sistema operativo• Data sensitivity level (secret, unclassified, ...)

27

Page 28: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Selettori delle Security Associations

• Un selettore consente di filtrare il traffico in uscita ed associarload SA– Confronta i campi del pacchetto con quelli del SPD

– Determina l’eventuale SA ed il corrispondente SPI

– Svolge l’elaborazione del pacchetto richiesta (AH o ESP)

28IP Security 28

Page 29: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Is it for IPSec?If so, which policy

SPD(Policy)

SA Database

IP Packet

Outbound packet (on A)

A B

Elaborazione pacchetti in uscita (“Outbound Processing”)

29

If so, which policyentry to select?

… … SPI & IPSec Packet

Send to B

Determine the SA and its SPI

IPSec processing

Page 30: Corso di Laurea Specialistica in Ingegneria Informatica Corso

SA DatabaseSPI & Packet

Inbound packet (on B) A B

From A

SPD

Elaborazione pacchetti in ingresso (“Inbound Processing”)

30

Use SPI to index the SAD

SA Database

Original IP Packet

SPI & Packet

SPD(Policy)

Was packet properly secured?

“un-process”

Page 31: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità di funzionamento

AH ed ESP supportano due modalità– Transport

– Tunnel

31IP Security 31

Page 32: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità transport

Protezione di protocolli di livello superioreRelativa al payload del pacchetto IP

– Segmenti TCP

– Segmenti UDP

– Pacchetti ICMP

– …

32

– …

Generalmente utilizzata per le comunicazioni end-to-end fra due hostPayload IPv4

– Dati successivi all’intestazione IP

Payload IPv6– Dati successivi all’intestazione IP ed eventuali intestazioni di estensione

• Eccezione: opzioni di destinazione possono essere incluse nella protezione

IP Security 32

Page 33: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità transport

AH– Autentica il payload IP e determinate parti dell’intestazione IP

ESP– Esegue la crittografia, ed opzionalmente autentica il payload IP ma non l’intestazione IP

33IP Security 33

Page 34: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità transport

IPheader

IPoptions

IPSecheader

Higherlayer protocol

ESPReal IPdestination

34

AH

destination

Page 35: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità transport

Datagramma IPSec trasmesso e ricevuto da end-systemProtezione dei protocolli di livello superiore

35IP Security

IPsec IPsec

Page 36: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità tunnel

• Protezione dell’intero pacchetto IP• Vengono aggiunti i campi AH o ESP• L’intero pacchetto così ottenuto viene trattato come il payload di

un nuovo pacchetto IP con una nuova intestazione• Il pacchetto originario viaggia in un tunnel • Nessun router sarà in grado di esaminare l’intestazione interna

36

• Nessun router sarà in grado di esaminare l’intestazione interna• Indirizzi IP esterni potenzialmente diversi da quelli originari

IP Security 36

Page 37: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità tunnel

AH– Autentica l’intero pacchetto IP interno ed alcune parti dell’intestazione IP esterna

ESP – Crittografia ed autenticazione (opzionale) dell’intero pacchetto IP interno compresa l’intestazione IP interna

37

interno compresa l’intestazione IP interna

IP Security 37

Page 38: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità tunnel

Outer IPheader

Inner IPheader

IPSecheader

Higherlayer protocol

38

header headerheader layer protocol

ESP

AH

Real IP destinationDestinationIPSecentity

Page 39: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Modalità tunnel

End routers sono IPsec-awareHosts inconsapevoli

39IP Security

IPsec IPsec

Page 40: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Encrypted Tunnel

Gateway Gateway

Encrypted

Modalità tunnel

40

A B

New IP Header

AH or ESP Header

TCP DataOrig IP Header

Encrypted

Page 41: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Riassumendo

Modalità transport Modalità tunnel

AH Autentica il payload IP e determinate parti dell’intestazione IP e delle estensioni in IPv6

Autentica l’intero pacchetto IP interno più determinate parti dell’intestazione IP esterna e delle intestazioni di estensione IPv6 esterne

ESP Esegue la crittografia del payload IP e di ogni

Esegue la crittografia del pacchetto IP interno

41

payload IP e di ogni intestazione di estensione IPv6 che segue l’intestazione ESP

pacchetto IP interno

ESP con autenticazione Esegue la crittografia del payload IP e di ogni intestazione di estensione IPv6 che segue l’intestazione ESP. Autentica il payload IP ma non l’intestazione IP

Esegue la crittografia del pacchetto IP interno. Autentica il pacchetto IP interno

IP Security 41

Page 42: Corso di Laurea Specialistica in Ingegneria Informatica Corso

42/18

AUTENTICATION HEADER

IP Security

Page 43: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Struttura del pacchetto IP esterno

43IP Security

Page 44: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Proprietà

• Supporto per l’integrità dei dati– Impossibile modificare il contenuto del pacchetto in transito senzache tale operazione venga rilevata

• Supporto per l’autenticazione dei pacchetti IP– Autenticazione dell’utente o dell’applicazione

– Filtraggio del traffico non autenticato

44

– Filtraggio del traffico non autenticato

– Prevenzione IP spoofing

• Prevenzione di attacchi replay• Autenticazione basata su MAC (Message Authentication Code)

– Le due parti devono condividere una chiave segreta

IP Security 44

Page 45: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in AH

Next header (8 bit) – Tipo di intestazione che segue questa intestazione

– TCP, UDP, ICMP, …

45IP Security 45

Page 46: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in AH

Payload length (8 bit) – Lunghezza di Authentication Header in word di 32 bit, meno 2

• Es. 3 word di intestazione fissa + 3 word di authentication data variabile – 2 word = 4

46IP Security 46

Page 47: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in AH

Reserved (16 bit) – Riservato per utilizzi futuri

47IP Security 47

Page 48: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in AH

Security Parameters Index (32 bit) – Identifica una security association

48IP Security 48

Page 49: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in AH

Sequence number (32 bit) – Contatore incrementale monotonico

49IP Security 49

Page 50: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in AH

Authentication data (variabile) – Campo di lunghezza variabile (multiplo di word di 32bit) che contiene il valore ICV (Integrity Check Value) o MAC (Message Authentication Code)

50IP Security 50

Page 51: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Attacco replay

• Un estraneo ottiene copia di un pacchetto autenticato• Trasmette successivamente tale copia alla destinazione prevista• Pacchetti autenticati duplicati possono disturbare il

funzionamento• Il campo Sequence Number serve ad evitare questo genere di

attacchi

51

attacchi

IP Security 51

Page 52: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Pacchetto in uscita – lato mittente

• Alla generazione di una nuova SA il mittente inizializza un contatore a 0

• Ad ogni pacchetto inviato in una SA il mittente incrementa ilcontatore ed inserisce il valore nel campo Sequence Number– Il primo valore è pari ad 1

• La difesa da attacchi replay è attiva per default

52

• La difesa da attacchi replay è attiva per default– Il mittente non deve consentire che i numeri di sequenza ricomincinociclicamente dopo 2^32 – 1

– Al raggiungimento di questo valore, la SA viene chiusa, e ne vieneaperta una nuova

IP Security 52

Page 53: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Pacchetto in ingresso – lato destinatario

• IP è connectionless, inaffidabile, best effort– La consegna dei pacchetti non è garantita

– La consegna in ordine dei pacchetti non è garantita

• Il ricevitore implementa una finestra di dimensione W = 64 (tipicamente)

• Pacchetto con numero sequenziale compreso fra

53

• Pacchetto con numero sequenziale compreso fraN-W+1 ed N ricevuto correttamente– Posizione corrispondente nella finestra contrassegnata

– ...

IP Security 53

Page 54: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Pacchetto in ingresso – lato destinatario (Algoritmo di funzionamento)

• Pacchetto nuovo rientra nella finestra– Controllo codice MAC

– Contrassegnata la posizione dei pacchetti correttamente autenticati

• Pacchetto nuovo alla destra della finestra– Controllo codice MAC

– Pacchetto correttamente autenticato

54

– Pacchetto correttamente autenticato

• Avanzamento finestra

• Posizione corrispondente contrassegnata

• Pacchetto alla sinistra della finestra o non correttamenteautenticato– Pacchetto eliminato

– (opzionale) Evento registrato ai fini dell’auditing

IP Security 54

Page 55: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Finestra di ricezione anti-replay

packets received

window (of size 7)

last received packet

... ...

5555

dropped dropped if MAC iscorrect then

markotherwise

drop

advancewindow

... ...

Page 56: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Integrity Check Value

• Contenuto nel campo Authentication Data• Codice di autenticazione del messaggio

– Può essere una versione troncata di un codice prodotto da un algoritmo MAC

• Implementazioni devono supportare– HMAC-MD5-96

• Algoritmo HMAC

56

• Algoritmo HMAC• Codice hash MD5

– HMAC-SHA1-96• Algoritmo HMAC• Codice hash MD5

– Calcolo HMAC completo– Troncamento a 96 bit

56

Page 57: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Calcolo del MAC

Campi utilizzati:– Campi dell’intestazione IP che non cambiano durante la trasmissione– Campi dell’intestazione IP che hanno un valore prevedibile al punto terminale

della SA AH– Campi variabili o non prevedibili vengono considerati 0– Intestazione AH tranne Authentication Data– Authentication Data viene considerato 0– Tutti i dati dei protocolli di livello superiore

57

– Tutti i dati dei protocolli di livello superiore

IP Security 57

0000...

00000000...

TTL Header checksum

IPA

Hpa

yloa

d

MAC Authentication data

Page 58: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Calcolo del MAC per IPv4

• Campi immutabili– Internet Header Length

– Source Address

• Campi mutabili ma prevedibili– Destination Address (in presenza di routing lasco o rigido...)

• Campi mutabili (azzerati)

58

• Campi mutabili (azzerati) – Time to Live

– Header Checksum

• Src IP e Dst IP protetti per evitare spoofing

IP Security 58

Page 59: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Calcolo del MAC per IPv6

• Campi immutabili– Version

• Campi mutabili ma prevedibili– Destination Address

• Campi mutabili (azzerati) – Flow Label

59

– Flow Label

IP Security 59

Page 60: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Struttura dei datagrammi dopo l’applicazione di IPSec

60IP Security 60

Page 61: Corso di Laurea Specialistica in Ingegneria Informatica Corso

61

ENCAPSULATING SECURITY PAYLOAD

IP Security

Page 62: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Struttura del pacchetto IP esterno

62IP Security

Page 63: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Proprietà

• Servizi di segretezza del contenuto del messaggio• Servizi di segretezza parziale del flusso di traffico• Servizio opzionale di autenticazione

63IP Security 63

Page 64: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in ESP

Security parameters index (32 bit) – Identifica una SA

64IP Security 64

Page 65: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in ESP

Sequence number (32 bit) – Contatore incrementale monotonico per la funzione anti-replay

65IP Security 65

Page 66: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in ESP

Payload data (variabile) – Segmento di dati (transport) o il pacchetto IP (tunnel) protetto

66IP Security 66

Page 67: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in ESP

Padding (0-255 byte)

67IP Security 67

Page 68: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in ESP

Pad length (8 bit) – Numero di byte di riempimento nel campo precedente

68IP Security 68

Page 69: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in ESP

Next header (8 bit) – Tipo di dati contenuti in payload data identificato puntando alla prima intestazione

69IP Security 69

Page 70: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione in ESP

Authentication data (variabile) – Costituito da un numero intero di word di 32 bit. Contiene il valoreIntegrity Check Value calcollato su ESP, escluso il campo AD stesso

70IP Security 70

Page 71: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Algoritmi di crittografia e autenticazione

• Payload data, padding, pad length e next header sonocrittografati dal servizio ESP

• Se sono richiesti dati di sincronizzazione crittografica, devonoessere presenti all’inizio del campo Payload Data

• Se esiste, il vettore di inizializzazione non viene crittografato– Viene comunque implicitamente considerato parte del testo cifrato

71

– Viene comunque implicitamente considerato parte del testo cifrato

IP Security 71

Page 72: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Algoritmi di crittografia

Algoritmi utilizzabili definiti nel documento DOI (Domain Of Interpretation) – Triple DES a tre chiavi

– RC5

– IDEA

– Triple IDEA a tre chiavi

72

– Triple IDEA a tre chiavi

– CAST

– Blowfish

IP Security 72

Page 73: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Algoritmi di autenticazione

Supporto per codice MAC con lunghezza standard di 96 bitRequisiti per un’implementazione compatibile

– HMAC-MD5-96

– HMAC-SHA-1-96

– Il MAC è calcolato su

• Security Parameters Index

73

• Security Parameters Index

• Sequence Number

• Payload Data• Padding

• Pad Length

• Next Header

– Diversamente da AH, il MAC non copre l’header IP precedente

IP Security 73

Page 74: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Padding

• Dimensione del testo in chiaro multiplo di un determinatonumero di byte– Consente di espandere il testo in chiaro (Payload Data, Padding, Pad Length, Next Header) fino alla lunghezza desiderata

• ESP richiede che Pad Length e Next Header siano allineati a destra all’interno di una word di 32 bit

74

destra all’interno di una word di 32 bit– Il testo cifrato deve essere un multiplo intero di 32 bit

• Ulteriore riempimento per garantire la segretezza parziale del flusso del traffico– Nasconde l’effettiva lunghezza del payload

IP Security 74

Page 75: Corso di Laurea Specialistica in Ingegneria Informatica Corso

ESP in modalità transport

• Crittografia dei dati trasportati da IP• Autenticazione opzionale dei dati trasportati da IP• IPv4

– Inserimento intestazione ESP immediatamente prima dell’intestazione di livello trasporto

– Coda ESP (Padding, Pad Length e Next Header)

75

– Se è richiesta autenticazione dopo la coda ESP viene aggiunto ilcampo ESP Authentication Data

– Vengono crittografati l’intero segmento di livello trasporto più la coda ESP

– L’autenticazione copre tutto il testo cifrato più l’intestazione ESP

IP Security 75

originalIP header

TCP/UDPheader

ESPheader

encrypted

ESPtrailer

ESPMAC

data

authenticated

Page 76: Corso di Laurea Specialistica in Ingegneria Informatica Corso

ESP in modalità transport

• IPv6– ESP considerato come un payload end-to-end

– Nessuna elaborazione effettuata dai router intermedi

• Intestazione ESP successiva all’intestazione IPv6 e gli extension header relativi al funzionamento hop-by-hop, al routing ed allaframmentazione

76

frammentazione– Extension header delle opzioni di destinazione può trovarsi sia prima che dopo l’intestazione ESP, a seconda della semantica

• L’intero segmento di livello trasporto, più la coda ESP sonocoperti dalla crittografia– Anche l’header delle opzioni di destinazione, nel caso si trovi dopol’intestazione ESP

IP Security 76

Page 77: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Pacchetto in uscita – lato mittente

• Coda ESP e segmento di livello trasporto crittografati allasorgente

• Testo in chiaro sostituito dal testo cifrato per formare ilpacchetto IP– Autenticazione aggiunta opzionalmente

• Il pacchetto viene instradato alla destinazione

77

• Il pacchetto viene instradato alla destinazione– Ogni router esamina l’intestazione IP ed eventuali estensioni IP in chiaro

– I router non hanno necessità di esaminare il testo cifrato

IP Security 77

Page 78: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Pacchetto in ingresso – lato destinatario

Elaborazione intestazione IP– Elaborazione eventuali estensioni in chiaro

– Sulla base del campo SPI (Security Parameters Index) vienedecrittografata la parte rimanente del pacchetto per recuperare ilsegmento di livello trasporto

78IP Security 78

Page 79: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Osservazioni relative all’utilizzo di ESP in modalità transport

• Funzionalità di segretezza fornite a qualsiasi applicazione– Le applicazioni non devono implementare meccanismi di sicurezzasingolarmente

• La lunghezza del pacchetto IP aumentata di poco

• Resta comunque possibile analizzare il traffico costituito dai

79

• Resta comunque possibile analizzare il traffico costituito daipacchetti trasmessi– Supporto solo parziale al mascheramento delle proprietà del flusso

IP Security 79

Page 80: Corso di Laurea Specialistica in Ingegneria Informatica Corso

ESP in modalità tunnel

• Utilizzato per crittografare un intero pacchetto IP• L’intestazione ESP precede il pacchetto• Vengono crittografati pacchetto e coda ESP

– Possibile elusione dell’analisi del traffico

• L’intestazione IP contiene informazioni relative agli indirizzi IP di mittentee destinatario e talvolta direttive di source routing ed opzioni hop-by-hop– Necessario incapsulare l’intero blocco con una nuova intestazione IP

80

• Utile in presenza di firewall o security gateway• Host interni non devono utilizzare IPSec• Numero di chiavi ridotte• Impedisce l’analisi del traffico basata sull’osservazione della destinazione

IP Security 80

newIP header

ESPheader

originalIP header

TCP/UDPheader

dataESPtrailer

ESPMAC

encrypted

authenticated

Page 81: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Pacchetto in uscita – lato mittente

SCENARIO: Host esterno tenta di comunicare con un host protetto da firewall; ESP implementato nell’host esterno e nel firewall– Preparazione del pacchetto IP (interno) con l’indirizzo di destinazione dell’host protetto da firewall

– Aggiunta dell’intestazione ESP

– Crittografia del pacchetto e della coda ESP

81

– Crittografia del pacchetto e della coda ESP

• Con eventuali dati Authentication Data

– Incapsulamento del blocco prodotto con nuova intestazione IP

• IP destinazione = IP del firewall

– Pacchetto esterno instradato al firewall di destinazione

• I router elaborano solo l’intestazione IP esterna più eventuali extension header

IP Security 81

Page 82: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Pacchetto in ingresso – lato destinatario

• Il firewall di destinazione esamina ed elabora l’intestazione IP– Elaborazione delle eventuali intestazioni opzionali

• Sulla base del campo SPI contenuto nell’intestazione ESP esegue la decrittografia della parte rimanente del pacchetto

• Il pacchetto decrittografato viene trasmesso nella rete interna• Il pacchetto viene inoltrato da zero o più router nella rete

82

• Il pacchetto viene inoltrato da zero o più router nella reteinterna, fino alla sua destinazione finale

IP Security 82

Page 83: Corso di Laurea Specialistica in Ingegneria Informatica Corso

83

COMBINAZIONE DI SECURITY ASSOCIATIONS

IP Security

Page 84: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Motivazione

• Una singola SA può utilizzare il protocollo AH o ESP, ma non entrambi

• Determinati flussi di traffico richiedono servizi forniti daentrambi i protocolli

• Determinati flussi possono richiedere particolari servizi end-to-end fra gli host, e servizi differenti fra i gateway di sicurezza o i

84

end fra gli host, e servizi differenti fra i gateway di sicurezza o ifirewall

E’ necessario impiegare diverse SA per lo stesso flusso di traffico

IP Security 84/18

Page 85: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Soluzione

• Viene creato un gruppo di associazioni di sicurezza rispetto allequali il traffico deve essere elaborato per fornire il particolareinsieme di servizi IPSec desiderato

• Le SA per tale gruppo possono terminare negli stessi punti o in punti differenti

• Due strategie di combinazione– Adiacenza di trasporto

• Allo stesso pacchetto IP si applicano più protocolli di sicurezza senza

85

• Allo stesso pacchetto IP si applicano più protocolli di sicurezza senzausare la modalità tunnel

• Offre un solo livello di combinazione• Ulteriori nidificazioni non offrono vantaggi, poiché l’elaborazione

viene svolta su una sola istanza di IPSec, a destinazione– Tunnel iterato

• Applicazione di diversi livelli di protocolli di sicurezza tramite tunnel IP• Consentiti più livelli di nidificazione• Possibili origini terminazioni differenti per i tunnel

• I due approcci possono essere combinati fra loro

IP Security 85

Page 86: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Autenticazione e segretezza

ESP con opzione di autenticazione– ESP applicato ai dati da proteggere

– Campo dei dati di autenticazione aggiunto in coda

– Modalità transport

• Autenticazione e crittografia applicate al payload• Intestazione IP non protetta

86

• Intestazione IP non protetta

– Modalità tunnel

• Autenticazione applicata all’intero pacchetto IP consegnato alla destinazione esterna dove viene effettuata l’autenticazione

• L’intero pacchetto IP interno è protetto

– L’autenticazione si applica al testo cifrato, e non al testo in chiaro

IP Security 86

Page 87: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Autenticazione e segretezza

Adiacenza di trasporto– Utilizzo di due associazioni di sicurezza in modalità transport

• ESP su SA interna– Utilizzato senza autenticazione

• AH su SA esterna

– Crittografia applicata al payload IP

87

– Crittografia applicata al payload IP

– Autenticazione applicata all’intestazione ESP più l’intestazione IP originale ed eventuali estensioni

– Più campi coperti da autenticazione rispetto al caso precedente

• IP sorgente

• IP destinazione

• …

– Sovraccarico dovuto all’impiego di due SA

IP Security 87

Page 88: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Autenticazione e segretezza

Raggruppamento transport-tunnel– Autenticazione prima della crittografia

• Dati di autenticazione protetti da crittografia• Informazioni di autenticazione memorizzate col messaggio

– Utile per riferimenti futuri– Più comodo operare su dati non crittografati

88

» In caso contrario il messaggio dovrebbe essere decrittografato e ricrittografato per verificare l’autenticazione

– SA con AH interna in modalità transport

– SA con ESP esterna in modalità tunnel

– Autenticazione applicata al payload ed all’intestazione IP ad esclusione dei campi mutevoli

– Il pacchetto risultante viene elaborato in modalità tunnel da ESP

• Il pacchetto interno autenticato viene crittografato• Viene aggiunta una nuova intestazione IP

IP Security 88

Page 89: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Combinazioni di SA

Combinazione ESP-AH1. ESP in modalità transport senza autenticazione

2. AH in modalità transportoriginal

IP headerTCP/UDP

headerESP

headerESPtrailer

dataAH

authenticated except for mutable fields in the IP header

89

Combinazione AH-ESP1. AH in modalità transport

2. ESP in modalità tunnel senza autenticazione

89

authenticated except for mutable fields in the IP header

newIP header

ESPheader

originalIP header

TCP/UDPheader

dataESPtrailer

AH

authenticated except for mutable fields in the inner IP header

Page 90: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Combinazione di SA

• Il documento IPSec Architecture elenca 4 esempi dicombinazioni di SA che devono essere supportati da qualsiasiimplementazione

• Rappresentiamo connettività fisica e connettività logica (SA nidificate)

• Le SA possono essere AH ed ESP

90

• Le SA possono essere AH ed ESP• Per le SA fra host si può usare modalità transport e tunnel• Negli altri casi si considera solo la modalità tunnel

IP Security 90

Page 91: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Combinazione di SA

caso 1: host-to-host security– Sicurezza fornita dai sistemi terminali che implementano IPSec– Necessità di condividere chiavi segrete– Possibili combinazioni

• AH in modalità transport• ESP in modalità transport• ESP all’interno di AH in modalità transport• Uno dei casi precedenti all’interno di AH o ESP in modalità tunnel

91

• Uno dei casi precedenti all’interno di AH o ESP in modalità tunnel

91

Internetlocal

intranetlocal

intranet

one or more SAs

Page 92: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Combinazione di SA

caso 2: gateway-to-gateway security– Nessun host implementa IPSec

– Supporto di una semplice VPN

– Necessaria un’unica SA in modalità tunnel

• AH, ESP, ESP con autenticazione– Non è necessario usare tunnel nidificati

• I servizi IPSec si applicano all’intero pacchetto interno

9292

Internetlocal

intranetlocal

intranet

single tunnel SA

Page 93: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Combinazione di SA

Caso 3– Aggiunta della sicurezza end-to-end– Stesse combinazioni dei casi 1 e 2– Tunnel gw-gw fornisce l’autenticazione e/o la segretezza per tutto il traffico fra i

terminali– Se il tunnel GW-GW è ESP fornisce anche il supporto per la segretezza del traffico– Singoli host possono implementare servizi IPSec aggiuntivi per determinate

applicazioni o utenti mediante SA end-to-end

9393

Internetlocal

intranetlocal

intranet

one or more SAssingle tunnel SA

Page 94: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Caso 4: host-to-gateway security– Supporto per un host remoto che usa internet per raggiungere il firewall di un’azienda per poi accedere a server o workstation protetti

– Modalità tunnel fra host remoto e firewall

– Fra host remoto e locale possono essere utilizzate una o due SA

Combinazione di SA

9494

Internetlocal

intranet

single tunnel SA

Page 95: Corso di Laurea Specialistica in Ingegneria Informatica Corso

95

GESTIONE DELLE CHIAVI

IP Security 95

Page 96: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Caratteristiche del problema

• Necessità di scegliere e distribuire le chiavi segrete• Quattro chiavi richieste per la comunicazione fra applicazioni

– Due coppie in ricezione e trasmissione

• Richiesto il supporto a due tipi di gestione– Manuale

• Ciascun sistema è configurato manualmente con le proprie chiavi

96

• Ciascun sistema è configurato manualmente con le proprie chiavie quelle di altri sistemi

• Ambienti piccoli e statici

– Automatica

• Creazione su richiesta delle chiavi per le SA

• Sistemi dinamici di grandi dimensioni

IP Security 96

Page 97: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Elementi del protocollo standard

• Oakley key determination protocol– Protocollo per lo scambio di chiavi basato sull’algoritmo Diffie-Hellman

• ISAKMP (Internet Security Association and Key Management Protocol) – Fornisce una struttura per la gestione delle chiavi

– Fornisce il supporto per la negoziazione degli attributi di sicurezza

97

– Fornisce il supporto per la negoziazione degli attributi di sicurezza

• Formati da utilizzare

– Non impone un algoritmo specifico

– E’ un insieme di tipi di messaggi che consentono di usare varialgoritmi per lo scambio per le chiavi

– Inizialmente Oakley era obbligatorio

IP Security 97

Page 98: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Il protocollo Diffie-Helman

• Accordo iniziale fra A e B sui parametri globali– q

– Numero primo esteso

– Alfa (radice primitiva di q)

• A trasmette a B la sua chiave pubblica• B trasmette ad A la sua chiave pubblica

98

• B trasmette ad A la sua chiave pubblica• I due end-point calcolano la chiave privata di sessione• Le chiavi segrete vengono create solo quando necessario• Lo scambio non richiede infrastrutture preesistenti, ma solo

l’accordo sui parametri iniziali

IP Security 98

Page 99: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Punti deboli di Diffie-Helman

Nessuna informazione sull’identità delle partiVulnerabile all’attacco man-in-the-middle

– C si finge B mentre comunica con A

– C si finge A mentre comunica con B

– A e B negoziano la chiave con C

– C ascolta ed inoltra il traffico

99

– C ascolta ed inoltra il traffico

È computazionalmente oneroso– Vulnerabile all’attacco clogging in caso di richieste di numeri elevati di chiavi

IP Security 99

Page 100: Corso di Laurea Specialistica in Ingegneria Informatica Corso

L’algoritmo Oakley

• Mantiene i vantaggi di D-H• Evita i punti deboli di D-H• Impiega il meccanismo dei cookie per evitare gli attacchi

clogging– Invio e riscontro di una sequenza pseudocasuale ripetuta nel primo messaggio di scambio di chiavi

– Nel caso di IP Spoofing nessuna risposta sarà ottenuta dall’attaccante

100

– Nel caso di IP Spoofing nessuna risposta sarà ottenuta dall’attaccante

– Il cookie deve dipendere dalle specifiche parti

– Nessuno deve poter generare cookie accettabili dall’entità emettitrice

• Utilizzo di informazioni segrete locali– Metodi veloci per la generazione e la verifica dei cookie

• Consente alle due parti di negoziare un gruppo, specificando iparametri globali dello scambio delle chiavi– Definizione dei parametri globali

– Identità dell’algoritmo

IP Security 100

Page 101: Corso di Laurea Specialistica in Ingegneria Informatica Corso

L’algoritmo Oakley

Usa meccanismi per la difesa di attacchi a replay (nonce) – Ciascun nonce è un numero pseudocasuale generato localmente– Compaiono nelle risposte e vengono crittografati in determinati punti

dello scambioConsente lo scambio delle chiavi D-HAutentica lo scambio per evitare l’attacco man-in-the-middle

– Firme digitali

101

– Firme digitali• Autenticazione mediante firma di un codice hash ottenibile

vicendevolmente• Codice hash generato includendo il codice utente ed i valori nonce

– Crittografia a chiave pubblica• Crittografia di parametri sensibili (codice utente, nonce) mediante la

chiave privata del mittente– Crittografia a chiave simmetrica

• Chiave ottenuta mediante meccanismi fuori banda (telefono, email, …)

IP Security 101

Page 102: Corso di Laurea Specialistica in Ingegneria Informatica Corso

ISAKMP

• Definisce le procedure ed i formati dei pacchetti necessari per attivare, negoziare, modificare e cancellare le SA

• Nell’attivazione di una SA definisce il payload per lo scambio deidati di generazione ed autenticazione delle chiavi

• Formato del payload indipendente– Dal protocollo di scambio delle chiavi

102

– Dal protocollo di scambio delle chiavi

– Dall’algoritmo di crittografia

– Dal meccanismo di autenticazione

IP Security 102

Page 103: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Initiator cookie (64 bit) – Cookie dell’entità che inizia l’attivazione, la notifica o la cancellazione della SA

Initiator cookie

103IP Security 103

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 104: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Responder cookie (64 bit) – Cookie dell’entità rispondente, nullo nel primo messaggio

Initiator cookie

104IP Security 104

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 105: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Next Payload (8 bit) – Tipo del primo payload del messaggio

Initiator cookie

105IP Security 105

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 106: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Major version (4 bit) – Versione major di ISAKMP utilizzata

Initiator cookie

106IP Security 106

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 107: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Minor version (4 bit) – Versione minor di ISAKMP utilizzata

Initiator cookie

107IP Security 107

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 108: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Exchange type (8 bit) – Tipo di scambio effettuato

Initiator cookie

108IP Security 108

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 109: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Flags (8 bit) – Opzioni impostate per lo scambio: encryption se tutti i payload seguenti sono crittografati usando l’algoritmo di crittografia della SA, commit per garantire che il materiale crittografato venga ricevuto solo dopo l’attivazione della SA

109IP Security 109

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Initiator cookie

Responder cookie

Page 110: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Message ID (32 bit) – Identificativo univoco del messaggio

Initiator cookie

110IP Security 110

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 111: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Formato dell’intestazione ISAKMP

Length (32 bit) – Lunghezza totale del messaggio (header + payload) misurata in ottetti

Initiator cookie

111IP Security 111

Nextpayload

Mjver

MnVer

Exchangetype

Flags

Message ID

Length

Responder cookie

Page 112: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Tipi di payload ISAKMP

Next payload– 0 per l’ultima intestazione

– Valore associato al payload successivo

Payload length– Lunghezza in ottetti del payload + intestazione generica

112IP Security 112

Nextpayload

Reserved Payload length

payload

Page 113: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Tipi di payload ISAKMP

• Security Association (SA) – used to begin the setup of a new SA; carries various attributes

• Proposal (P) – used during SA setup; indicates protocol to be used (AH or ESP) and number of transforms

• Transform (T) – used during SA setup; indicates transform (e.g., DES, 3DES) and its attributes

• Key exchange (KE) – used to carry key exchange data (e.g., Oakley)

• Identification (ID)

113

• Identification (ID) – used to exchange identification information (e.g., IP address)

• Certificate (CR) – carries a public key certificate (PGP, X.509, SPKI, …)

• Hash (HASH) • Signature (SIG) • Nonce (NONCE) • Notification (N)

– contains error or status information• Delete (D)

– indicates one or more SAs that the sender has deleted from its database (no longer valid)

IP Security 113

Page 114: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Scambi ISAKMP

base exchange– Riduce il numero di scambi– Non protegge l’identità

I � R : SA; NONCER � I : SA; NONCEI � R : KE; IDi; AUTHR � I : KE; IDr; AUTH

114

identity protection exchange– Estende il caso Base– Scambio di chiavi con nonce

I � R : SAR � I : SAI � R : KE; NONCER � I : KE; NONCEI � R : IDi; AUTHR � I : IDr; AUTH

IP Security 114

Page 115: Corso di Laurea Specialistica in Ingegneria Informatica Corso

Scambi ISAKMP

authentication only exchange– Reciproca autenticazione senza scambio di chiavi

I � R : SA; NONCE

R � I : SA; NONCE; IDr; AUTH

I � R : IDi; AUTH

aggressive exchange

115

aggressive exchange– Riduce il numero di scambi ma non garantisce la protezione dell’identità

I � R : SA; KE; NONCE; IDi

R � I : SA; KE; NONCE; IDr; AUTH

I � R : AUTH

informational exchangeTrasmissione monodirezionale di informazioni per la gestione della SA

I � R : N/D

IP Security 115