… een poging tot verheldering …

Slides:



Advertisements
Verwante presentaties
Hardware voor draadloos netwerk
Advertisements

Tevens elke bedrijfsPC direct op het internet niet erg veilig
Netwerken soorten verbindingen protocollen soorten signalen
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.
Blok 7: netwerken Les 7 Christian Bokhove.
Blok 7: netwerken Les 6 Christian Bokhove. Internet Protocol - IP  De Internet Service verschaft een dienst die: – Vebindingsloos is – Onbetrouwbaar.
Internet College 1 Architecturen.
Voorbeeld Betaalautomaat objecten (“wie”) klant bank interface (“wat”)
Dorien Oostra Tanja van Essen Charlotte Westbroek
Vervolg theorie Orientatie voor de nieuwe opdracht.
Tentamen Maandag, 1 juli H en H.2.403
Presentatie Thuisnetwerken
Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.
SSL, HTTPS en SSH Johnny Schaap.
Enkele weetjes Hoe stel ik een router in als access point
... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.
Blok 7: netwerken Les 8 Christian Bokhove.
WiFi netwerk Door Nico Van Damme.
Computernetwerken Deel 2
EduRoam en beveiliging
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
Linux FTP Server.
Network Address Translation
Basic Web Services Technology Matthijs Smith & Roel Arents tbv ISS 2005/2006.
Remote lab netwerkbeveiliging Onderliggende toepassingen en technieken.
SSH Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Cryptografische algoritmen en protocols (4) Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Blok 7: netwerken Les 1 Christian Bokhove
Netwerken / Internet ICT Infrastructuren David N. Jansen.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
SURFnet introductie, 1 juni 2005
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Het TCP/IP referentiemodel 2
Windows Applicaties Bouwen met Visual Studio.NET Sijmen Koffeman Development Consultant Microsoft.
hcc!pc Werkgroep netwerken
Netwerken (2) Informatica.
Beveiligingsaspecten van draadloze hotspots Toepassing van 802.1x met FreeRADIUS Steven Wittevrouw Bachelor Elektronica - ICT 3ICT
Sunnyslope school Douwe Hilverda en Rik de Jonge.
NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag.
PCNHCB PRESENTS : PC & Netwerk Help center Brabant VirtualBox Server 2003.
Java & het Web Programma: Beveiliging Filters. Security.....wat is dat(1)? Beveiliging draait om 4 belangrijke steunpilaren: 1.Authenticatie: is de persoon.
30 sept 2011 MCS Kennissessie Remote Beheer Remote Beheer Met Conel Routers.
Netwerken 4 Enigma Netwerken paragraaf 7. Het internet  netwerk van netwerken Hosts (computers) Netwerken (met oa. switches) Verbindingen Hosts (routers)
Netwerken 5 Enigma Netwerken paragraaf 8. Transportlaag Netwerklaag (IP-protocol) Best-effort pakketcommunicatie Transportlaag (UDP- en TCP-protocol)
Netwerken 6 Enigma Netwerken paragraaf 9. Applicatielaag End-to-end principe De infrastructuur (het internet) staat los van de toepassingen Makkelijk.
Wat is het Hoe stel ik het in Hoe kan ik het gebruiken
WIFI IN DE GEZONDHEIDSZORG
Welke Netwerken op welke PLC’s
End-to-end vercijfering
OpenVPN(-NL) Performance
PKI Fundamentals Een introductie van de toepassing en werking van cryptografische functies in X.509 certificaten Lex Zwetsloot Juni 2005.
Internet Protocol version 4
Kerberos Authenticatie
Michaël Hompus Principal developer,
November 22, 2018 AS-4 explained Cor Zijlstra.
M5 Datacommunicatie Applicatielaag
Presentatie 1 Goos de Jong
M5 Datacommunicatie Transportlaag
M5 Datacommunicatie Netwerklaag
Wifi D-LINK DIR-635 Rudiger.
Flow Approvals op verschillende manieren
Netwerken & Internet 3.
Netwerken & Internet 1.
Transcript van de presentatie:

… een poging tot verheldering … Introductie IPSec … een poging tot verheldering … Lex Zwetsloot

Wat is IPSec? Een raamwerk voor IP-Security - Later in IPv4 toegevoegde beveiliging op de IP-laag - Standaard ingebouwd in IPv6 Beveiliging in de vorm van: - Vertrouwelijk transport (confidentiality) - Geauthenticeerd transport (integrity) Complex … - een hele verzameling protocollen - een hele verzameling processen - een hele verzameling regels

IPSec raamwerk Main mode ESP ISAKMP AH IKE Quick mode Transport mode MD5 Tunnel Mode DES SHA-1 Diffie-Hellman group Oakley PFS RSA SA

Waarom IPSec? Transparantie - Onafhankelijk van Applicaties in hogere lagen Filtering met veel mogelijkheden - bijv. Alleen verkeer beveiligen … * van IP-adres x.x.x.x naar y.y.y.y, (mask /m) * van of naar UDP / TCP poortnummer n * van bepaald connectietype (LAN, Remote Access) Echt veilig!! - … Indien goed opgezet …

Wanneer IPSec? Beveiliging van (selectief) intern verkeer: Vertrouwelijke behandeling van gegevens binnen een afdeling of tussen afdelingen - Salaris-, HR-, of andere bedrijfskritische informatie Beveiliging van extern verkeer: Vertrouwelijkheid of authenticiteit van transport over WAN links - Communicatie met filialen en partners

Wanneer geen IPSec? Als betere (eenvoudiger) alternatieven beschikbaar zijn - SSL/TLS voor HTTP, SMTP, POP3 etc. Als vertrouwelijkheid of authenticiteit overbodig zijn - Internet browsing vanuit openbare ruimte Als er al een voldoende mate van bescherming bestaat - 802.1X met EAP-TLS of EAP-MS-CHAPv2 (Port-based access control)

Hoe werkt IPSec? Door complexiteit van raamwerk is IPSec Policy driven - Local policies aan weerskanten van connectie - Group Policies in Active Directory Afhankelijk van gekozen strategie of toepassing: - Transport mode - Tunnel mode In fasen: - Main Mode (Key-Exchange, Security Associations) - Quick Mode (Confidential Bytes)

Hoe werkt IPSec? (2/6) Policy driven: - Policy is opgebouwd uit één of meer rules - Rule ondersteunt één of meer auth. methoden - Rule is opgebouwd uit één of meer filter sets - Filter set bevat één of meer filters - Filter definieert één of meer acties (Permit, Block of Negotiate Security) Per host kan slechts één policy tegelijk worden assigned

Hoe werkt IPSec? (3/6) Drie IPSec modelpolicies in OS aanwezig: * Client (Respond Only) * Server (Request Security) * Secure Server (Require Security) Local IPSec policies zijn bruikbaar, maar: - kans op inconsistencies groter bij meer hosts - noodzakelijk bij afwezigheid Active Directory

Hoe werkt IPSec? (4/6) Breakdown IPSec demo Policy: “Server (Request Security)” Not Assigned Policy Omschrijving: For all IP Traffic, always request security using Kerberos trust. Allow unsecured communications with clients that do not respond to request.

Hoe werkt IPSec? (5/6) Breakdown IPSec demo Policy: “Server (Request Security)” Rule Rule Policy Rule

Hoe werkt IPSec? (5/..)6 Breakdown IPSec demo Policy: “Server (Request Security)” Filter Rule Rule Rule = Filter + Action Policy Rule

Hoe werkt IPSec? (5/..) Filter Rule = Filter + Action Breakdown IPSec demo Policy: “Server (Request Security)” Rule Action Rule Policy Rule

Hoe werkt IPSec? (5/6) Filter Rule = Filter + Action Breakdown IPSec demo Policy: “Server (Request Security)” Rule Action Rule Policy Rule

Hoe werkt IPSec? (6/6) Policy -> Rule -> Filter -> Filter Action -> Security Methods -> Filter Traffic -> Authentication Methods -> Tunnel Settings -> Connection Type Rule 1 Rule 2

IPSec in Transport Mode Endpoint-to-endpoint (host-to-host) security (Security association is transparant voor routers etc.) Type verkeer: * AH, Authentication Header -> Integrity Protocollen voor integrity: - SHA1, Secure Hashing Algorithm - MD5, Message Digest 5 * ESP Encrypted Security Payload -> Confidentiality Protocollen voor Confidentiality: - 3DES, “Triple”-DES - DES, Data Encryption Standard

IPSec sessie-opbouw IPSec Policy (Local of GPO) Client (Respond Only) Server (Request security) Filter: <Dynamic> Filter: All IP-Traffic Action: Default Response Action: Request Security Authentication: Kerberos Authentication: Kerberos No Tunnel Connection Type: All

IPSec sessie-opbouw IPSec Policy (Local of GPO) Client (Respond Only) Server (Request security) Action: Default Response Filter: <Dynamic> Authentication: Kerberos Filter: All IP-Traffic Action: Request Security No Tunnel Authentication: Kerberos Connection Type: All

IPSec sessie-opbouw (Transport Mode) TCP SYN ISAKMP IKE SA PROPOSAL IKE SA ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) Quick Mode IPSec SA Data IPSec SA Data Client (Respond Only) Server (Request security)

IPSec in Tunnel Mode Definieert Tunnel Endpoints: * AH, Authentication Header -> Integrity Protocollen voor integrity: - SHA1, Secure Hashing Algorithm - MD5, Message Digest 5 * ESP Encrypted Security Payload -> Confidentiality Protocollen voor Confidentiality: - 3DES, “Triple”-DES - DES, Data Encryption Standard

IPSec sessie-opbouw (Tunnel Mode) Data IPSec SA TCP SYN Data ISAKMP IKE SA PROPOSAL ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) IPSec SA Tunnel Endpoints Data

IPSec sessie-opbouw (Tunnel Mode) IPSec SA TCP SYN ISAKMP IKE SA PROPOSAL ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) IPSec SA Data Data Data

IPSec (AH) in Transport Mode AH is IP protocol 51 Orig IP Hdr TCP Hdr Data AH Hdr Insert Orig IP Hdr TCP Hdr Data Next Hdr Payload Len Rsrv SecParamIndex Seq# Keyed Hash Integrity hash bereik Vr.: Waarom kan AH niet door NAT barriere?

IPSec (ESP) in Transport Mode Orig IP Hdr TCP Hdr Data ESP Hdr Insert ESP Trailer ESP Auth Append Orig IP Hdr TCP Hdr Data Meestal encrypted Integrity hash bereik ESP is IP protocol 50

IPsec (ESP) in tunnel mode Orig IP Hdr TCP Hdr Data Data TCP Hdr IP Hdr IPHdr Nieuwe IP header met source en destination IP address ESP Hdr ESP Trailer ESP Auth Encrypted Integrity hash omvang

ISAKMP (RFC 2408) Internet Security Association Key Management Protocol Raamwerk voor het uitwisselen van sleutelmateriaal in Main Mode (TCP port 500) - Automatisch; IKE (RFC 2409), Oakley (RFC 2412), SKEME - Handmatig IKE Internet Key Exchange (RFC 2409) Protocol voor het automatisch uitwisselen van sleutels Gebruikt Oakley, SKEME en Diffie-Hellman groepen: - Groep 1: 768 bits keys - Groep 2: 1024 bits keys (Win 2000 / XP) - Groep 2048: 2048 bits keys (Win 2003)

Main mode vs Quick mode Main mode: IKE Security Association (IKE SA: bidirectional) - Afstemmen integrity en encryptieprotocollen - Uitwisselen key materiaal (Diffie-Hellman group) Quick mode: IPSec Security Association (IPSec SA: 2x unidirectional) - Integrity (MD5, SHA1) - Encryptie Session keys afgeleid van DH-groep in Main Mode, tenzij PFS is ingeschakeld (High security)

Perfect Forward Secrecy (PFS) Uitgeschakeld: Nieuwe sessiesleutels afgeleid van DH keys uit Main Mode. - Sneller Ingeschakeld: Nieuwe sessiesleutels steeds opnieuw aangemaakt. Vereist re-authenticatie (herhaling IKE-Diffie Hellman Main Mode). - Veiliger maar trager

IPSec Links: http://www.rhyshaden.com/ipsec.htm http://www.unixwiz.net/techtips/guide-ipsec.html http://www.surfnet.nl/innovatie/ipsec/secureip/h5.html Vragen?

Feedback: Privacy Policy Feedback
Over het project: SlidePlayer Gebruiksaanwijzing

© 2024 SlidePlayer.nl Inc. All rights reserved.