Virtual Private Network alapok titkosítás, IPsec

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium

1/38

Virtual Private Network alapok

titkosítás, IPsec

Kovács József

[email protected]


2/38

Miről lesz szó?

• Néhány gondolat a hálózat- biztonságról

• VPN – virtuális magánhálózatok

• Tanusítvány

• IPsec


3/38

Hálózatbiztonság – egy „külön szakma”

PAPCHAP

SKIP3-DES

PPTP

L2F

L2TP

SSL

Extranet

Firewall

ISAKMP-Oakley

KEYs

CypherText

Digital Certificates

SHA-1

MD-5

IKELDAPPKI

QoS


4/38

A hálózatbiztonság kiépítésének általános modellje

Source: Axent / SNCI


5/38

Néhány eszköz a hálózatbiztonság megteremtésére

• Tűzfalak

• VPN rendszerek

• Vírusvédelem

• Átfogó hálózat felügyelet (menedzsment)

• Titkosítás

• Hozzáférési kontroll

• Azonosítás (Autentikáció)

• Fizikai védelem


6/38

Telecommuters & Remote Users

Branch OfficesWeb Site

Corporate HeadquartersCustomers &Consultants

Mobile Users& Field Sales

FRAME RELAYINTERNET

DEDICATED IPNETWORK

Suppliers

Mi az a VPN?

VPN – Virtual Private NetworkVirtuális magánhálózat

VPN – Virtual Private NetworkVirtuális magánhálózat

Biztonságos magánhálózati kialakításnyilvános hálózaton keresztül


7/38

A virtuális magánhálózat lehetővé teszi:

• a szervezetek biztonságos kommunikációját a telephelyek, helyszínek között (Site to Site VPN)

• távoli felhasználók biztonságos kommunikációját a szervezet hálózatával (Remote Access VPN)


8/38

Egy általános VPN hálózat felépítése

SystemAdministrators

VPNmanager Console

VSU-2000

Üzleti partner

T1

T3

Távolifelhasználók

Vállalati kp.

Internet

ISP

VSU-7500 Router

VPNmanagerServer

Vállalatialkalmazások

Router Cable, DSL,Dial-up, or ISDN

VPNremoteClient Software

VSU-7500

SyslogServer

Szolgáltatói hálózat

T1Router

VSU-100

Távoli iroda

Extranet

Intranet

ISP

Távoli elérés

Alkalmazás szolgáltatás


9/38

Tanúsítvány


10/38

Tanúsítványok

• A kérdés: kiben lehet megbízni, amikor nyílt kulcsú

titkosítást használsz?

• A válasz: bárkiben megbízhatsz, akiben egy harmadik

mindenki által elfogadott fél megbízik

• Ez a „bizalom átadás” a tanúsítvány


11/38

Mi a tanúsítvány?

• A tanúsítvány összerendeli a nevet (IP címet ebben a környezetben)és a publikus kulcsot The binding is done by digital signature.

• A tanúsítványt a CA(certificate authority) állítja ki.


12/38

Tanúsítvány

• Minden VPN-nek kell CA.

• A CA mutatja be a tanúsítványokat a VPN eszközöknek.

• A tanúsítvány válasz hitelesített egy hitelesítő kulccsal.

• Minden tanúsítványban van egy lejárati dátum beleépítve.


13/38

A tanúsítványban lévő információk

• A tárgy azonosítója.

• A kiállító azonosítója.

• A tárgy publikus kulcsa.

• Lejárati idő.

• CRL (Certificate Revocation Lists).

• Policy, megszorítások (opcionális).


14/38

X.509

• X.509 nemzetközileg elfogadott tanúsítvány szabvány.

• Szabott helye van a CA struktúrában.


15/38

Titkosítás


16/38

Public Key Algorithm

Private Key

Public Keys


17/38

Diffie Hellman

A Private Key B Private Key

A Public KeyB Public Key

Symmetric Key

+ +


18/38

Symmetric Vs.Public key cryptography

• Szimetrikus titkosítás (DES / 3DES).– A kérdés: a kulcsok kezelése

EncryptionPlain

DecryptionCipher PlainA B


19/38

Symmetric Vs.Public key cryptography

• Public key cryptography (DH / RSA).– kérdés : lassú, bizalom

EncryptionPlain

DecryptionCipher PlainA B

Public key Private key


20/38

Digitális aláírás algoritmusa

• Public key cryptography:– private key használata az aláíráshoz.

– public key használata az azonosításhoz.

– példa : RSA.

• Symmetric cryptography:– Ugyanazon secret key használata az aláíráshoz és az

azonosításhoz is.

– példa : DES-MAC.


21/38

IPSEC


22/38

IPSEC

• IPSEC egy protokoll a IP csomagok titkosításához és azonosításához.

• Minden egyes IP csomagot egy IPSEC csomagba csomagolják.


23/38

Tunnel mode

• A csomagokat a security gateway-ek becsomagolják IPSEC-be, továbbítják a távoli security gateway felé, amely kicsomagolja és kézbesíti a célcímnek.

• A két security gateways egy ‘tunnel’-t feszít ki.

• A két host-nak nincs tudomása az egész titkosítási folyamatról.


24/38

IPsec

• IETF által létrehozott• Cél: Integritás és bizalom a hálózati rétegben• Protokollok

– Encapsulation (AH, ESP)– Automatic key management

(IKE - ISAKMP/Oakley)


25/38

A tunnel-ezett csomagok

MAC

IP

TCP

Application

UDP

IPSEC

IP


26/38

Tunnel Mode

Server

ServerHUBHUB

IP

TCP

Application

UDP

IP

TCP

Application

UDP

Host HostIPsec Gateway

IP

AH/ESP

ProtectedData

IP

AH/ESP

ProtectedData

Protected Traffic

Clear Headers

IPsec gateway

InternetRouter Router


27/38

ESP és AH

• Az ESP (Encapsulation Protocol) az IPSEC protokoll-családnak a csomagok titkosításához és azonosításhoz használatos protokollja.

• Az AH (Authentication Header) egy másik, csak azonosításhoz használható protokoll.

• Az azonosítás egyszerű, de nem azonos a két esetben.


28/38

Replay counter

• A replay counter arra való hogy védekezzünk az újraadás ellen.

• Minden csomag kap egy egyedi ID-t. Az ID egy számláló, amely minden csomagnál csökken.

• Ha egy csomag kétszer érkezik meg, vagy nem megfelelő sorrendben, akkor az egy esetleges betörés jele.


29/38

IV - Initial vector

• DES-CBC titkosítási algoritmusban minden titkosított csomagot blokkonként (8 bytes) egy előtag előzi meg.

• Az első blokk IV-n alapul.


30/38

Security Association (SA)

• Az SA-t a két kommunikáló fél osztja meg egymás között.

• Az SPI (Security Parameter Index) egy szám, amely indexként szolgál az SA számára.

• Minden SA-nak két SPI-je van: incoming & outgoing.

• Az SPI-t a vevő oldal állapítja meg.


31/38

Kulcs Menedzsment

• Ahhoz, hogy az SA kiépüljön, szükséges, hogy a két fél minden biztonsági paramétert egyeztessen, amibe beletartozik a a kulcsok kicserélése is.

• IKE (Internet Key Exchange) egy protokoll a kulcs menedzsment számára.

• Leírja, hogy hogyan lehet SA-t létesíteni.

• IKE az ISAKMP & OAKLEY protokollokon alapul, kombinálva az IPSEC DOI-val.


32/38

IKE Main mode

• Az alap metódus készít egy SA-t, amelyet később a Quick Mode üzenetek védelméhez fog használni. A Quick mode egy SA-t generál, amelyet az IPsec fog használni.

• A generált SA-t ISAKMP SA-nak hívják.


33/38

IKE Main Mode (folyt.)

• Main Mode három részre bontható (hat üzenetváltás) :– SA ajánlás és reagálás – az adó és a vevő megegyezik a ISAKMP

SA paraméterekben.

– KE ajánlás és reagálás- DH public kulcsok cseréje.

– ID ajánlás és reagálás- azonosító adatok cseréje.


34/38

IKE Main Mode

SA 1

2

3

4

5

6

Header

Header

Header

Header

Header

Header

SA

Key

Key

Nonce

Nonce

1

2

ID

ID

1

2

Sig

2Sig

Cert.

Cert.

Encrypted

Encrypted

Initiator Responder


35/38

IKE Quick Mode

• Quick Mode három üzenetből áll:– SA proposal + nonce + ID.

– SA response + nonce + hash + ID.

– Acknowledge + hash.

• The Quick Mode üzenetek a Main mode-ban létrehozott ISAKMP SA által védettek.


36/38

IKE Quick Mode

1

2

3Header

Initiator Responder

Hash-3

HeaderHash-2 SANonce-2Key ID

HeaderHash-2SANonce-2

KeyID


37/38

A VPN hálózatok előnyei

Költségmegtakarítás:• 20-40% site to site VPN-ek esetében• 60-80% remote access VPN-ek esetében

Rugalmasság:• Új telephely, új felhasználó csatlakoztatása rendkívül egyszerű.

Nem kell hozzá más, csak egy Internet csatlakozás, és egy VPN Gateway vagy kliens szoftver

Biztonság:• A VPN hálózatok az alkalmazott technológiáknak, protokolloknak

és szabványoknak köszönhetően fokozott biztonságot élveznek

IP telefónia támogatása:• VPN hálózatok IP telefónia alkalmazása esetében is kiépíthetők

Egyszerű menedzsment


38/38

Köszönöm a figyelmet!

Documents

Virtual Private Network alapok titkosítás, IPsec