De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

… een poging tot verheldering …

Verwante presentaties


Presentatie over: "… een poging tot verheldering …"— Transcript van de presentatie:

1 … een poging tot verheldering …
Introductie IPSec … een poging tot verheldering … Lex Zwetsloot

2 Wat is IPSec? Een raamwerk voor IP-Security - Later in IPv4 toegevoegde beveiliging op de IP-laag - Standaard ingebouwd in IPv6 Beveiliging in de vorm van: - Vertrouwelijk transport (confidentiality) - Geauthenticeerd transport (integrity) Complex … - een hele verzameling protocollen - een hele verzameling processen - een hele verzameling regels

3 IPSec raamwerk Main mode ESP ISAKMP AH IKE Quick mode Transport mode
MD5 Tunnel Mode DES SHA-1 Diffie-Hellman group Oakley PFS RSA SA

4 Waarom IPSec? Transparantie - Onafhankelijk van Applicaties in hogere lagen Filtering met veel mogelijkheden - bijv. Alleen verkeer beveiligen … * van IP-adres x.x.x.x naar y.y.y.y, (mask /m) * van of naar UDP / TCP poortnummer n * van bepaald connectietype (LAN, Remote Access) Echt veilig!! - … Indien goed opgezet …

5 Wanneer IPSec? Beveiliging van (selectief) intern verkeer: Vertrouwelijke behandeling van gegevens binnen een afdeling of tussen afdelingen - Salaris-, HR-, of andere bedrijfskritische informatie Beveiliging van extern verkeer: Vertrouwelijkheid of authenticiteit van transport over WAN links - Communicatie met filialen en partners

6 Wanneer geen IPSec? Als betere (eenvoudiger) alternatieven beschikbaar zijn - SSL/TLS voor HTTP, SMTP, POP3 etc. Als vertrouwelijkheid of authenticiteit overbodig zijn - Internet browsing vanuit openbare ruimte Als er al een voldoende mate van bescherming bestaat X met EAP-TLS of EAP-MS-CHAPv2 (Port-based access control)

7 Hoe werkt IPSec? Door complexiteit van raamwerk is IPSec Policy driven - Local policies aan weerskanten van connectie - Group Policies in Active Directory Afhankelijk van gekozen strategie of toepassing: - Transport mode - Tunnel mode In fasen: - Main Mode (Key-Exchange, Security Associations) - Quick Mode (Confidential Bytes)

8 Hoe werkt IPSec? (2/6) Policy driven: - Policy is opgebouwd uit één of meer rules - Rule ondersteunt één of meer auth. methoden - Rule is opgebouwd uit één of meer filter sets - Filter set bevat één of meer filters - Filter definieert één of meer acties (Permit, Block of Negotiate Security) Per host kan slechts één policy tegelijk worden assigned

9 Hoe werkt IPSec? (3/6) Drie IPSec modelpolicies in OS aanwezig: * Client (Respond Only) * Server (Request Security) * Secure Server (Require Security) Local IPSec policies zijn bruikbaar, maar: - kans op inconsistencies groter bij meer hosts - noodzakelijk bij afwezigheid Active Directory

10 Hoe werkt IPSec? (4/6) Breakdown IPSec demo Policy: “Server (Request Security)” Not Assigned Policy Omschrijving: For all IP Traffic, always request security using Kerberos trust. Allow unsecured communications with clients that do not respond to request.

11 Hoe werkt IPSec? (5/6) Breakdown IPSec demo Policy: “Server (Request Security)” Rule Rule Policy Rule

12 Hoe werkt IPSec? (5/..)6 Breakdown IPSec demo Policy: “Server (Request Security)” Filter Rule Rule Rule = Filter + Action Policy Rule

13 Hoe werkt IPSec? (5/..) Filter Rule = Filter + Action Breakdown IPSec demo Policy: “Server (Request Security)” Rule Action Rule Policy Rule

14 Hoe werkt IPSec? (5/6) Filter Rule = Filter + Action Breakdown IPSec demo Policy: “Server (Request Security)” Rule Action Rule Policy Rule

15 Hoe werkt IPSec? (6/6) Policy -> Rule -> Filter -> Filter Action -> Security Methods > Filter Traffic > Authentication Methods > Tunnel Settings > Connection Type Rule 1 Rule 2

16 IPSec in Transport Mode
Endpoint-to-endpoint (host-to-host) security (Security association is transparant voor routers etc.) Type verkeer: * AH, Authentication Header -> Integrity Protocollen voor integrity: SHA1, Secure Hashing Algorithm MD5, Message Digest 5 * ESP Encrypted Security Payload -> Confidentiality Protocollen voor Confidentiality: DES, “Triple”-DES DES, Data Encryption Standard

17 IPSec sessie-opbouw IPSec Policy (Local of GPO) Client (Respond Only)
Server (Request security) Filter: <Dynamic> Filter: All IP-Traffic Action: Default Response Action: Request Security Authentication: Kerberos Authentication: Kerberos No Tunnel Connection Type: All

18 IPSec sessie-opbouw IPSec Policy (Local of GPO) Client (Respond Only)
Server (Request security) Action: Default Response Filter: <Dynamic> Authentication: Kerberos Filter: All IP-Traffic Action: Request Security No Tunnel Authentication: Kerberos Connection Type: All

19 IPSec sessie-opbouw (Transport Mode)
TCP SYN ISAKMP IKE SA PROPOSAL IKE SA ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) Quick Mode IPSec SA Data IPSec SA Data Client (Respond Only) Server (Request security)

20 IPSec in Tunnel Mode Definieert Tunnel Endpoints: * AH, Authentication Header -> Integrity Protocollen voor integrity: SHA1, Secure Hashing Algorithm MD5, Message Digest 5 * ESP Encrypted Security Payload -> Confidentiality Protocollen voor Confidentiality: DES, “Triple”-DES DES, Data Encryption Standard

21 IPSec sessie-opbouw (Tunnel Mode)
Data IPSec SA TCP SYN Data ISAKMP IKE SA PROPOSAL ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) IPSec SA Tunnel Endpoints Data

22 IPSec sessie-opbouw (Tunnel Mode)
IPSec SA TCP SYN ISAKMP IKE SA PROPOSAL ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) IPSec SA Data Data Data

23 IPSec (AH) in Transport Mode
AH is IP protocol 51 Orig IP Hdr TCP Hdr Data AH Hdr Insert Orig IP Hdr TCP Hdr Data Next Hdr Payload Len Rsrv SecParamIndex Seq# Keyed Hash Integrity hash bereik Vr.: Waarom kan AH niet door NAT barriere?

24 IPSec (ESP) in Transport Mode
Orig IP Hdr TCP Hdr Data ESP Hdr Insert ESP Trailer ESP Auth Append Orig IP Hdr TCP Hdr Data Meestal encrypted Integrity hash bereik ESP is IP protocol 50

25 IPsec (ESP) in tunnel mode
Orig IP Hdr TCP Hdr Data Data TCP Hdr IP Hdr IPHdr Nieuwe IP header met source en destination IP address ESP Hdr ESP Trailer ESP Auth Encrypted Integrity hash omvang

26 ISAKMP (RFC 2408) Internet Security Association Key Management Protocol Raamwerk voor het uitwisselen van sleutelmateriaal in Main Mode (TCP port 500) - Automatisch; IKE (RFC 2409), Oakley (RFC 2412), SKEME - Handmatig IKE Internet Key Exchange (RFC 2409) Protocol voor het automatisch uitwisselen van sleutels Gebruikt Oakley, SKEME en Diffie-Hellman groepen: - Groep 1: bits keys - Groep 2: bits keys (Win 2000 / XP) - Groep 2048: bits keys (Win 2003)

27 Main mode vs Quick mode Main mode: IKE Security Association (IKE SA: bidirectional) - Afstemmen integrity en encryptieprotocollen - Uitwisselen key materiaal (Diffie-Hellman group) Quick mode: IPSec Security Association (IPSec SA: 2x unidirectional) - Integrity (MD5, SHA1) - Encryptie Session keys afgeleid van DH-groep in Main Mode, tenzij PFS is ingeschakeld (High security)

28 Perfect Forward Secrecy (PFS)
Uitgeschakeld: Nieuwe sessiesleutels afgeleid van DH keys uit Main Mode. - Sneller Ingeschakeld: Nieuwe sessiesleutels steeds opnieuw aangemaakt. Vereist re-authenticatie (herhaling IKE-Diffie Hellman Main Mode). - Veiliger maar trager

29 IPSec Links: Vragen?


Download ppt "… een poging tot verheldering …"

Verwante presentaties


Ads door Google