De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

… een poging tot verheldering …

GepubliceerdMichiel van den Velde Laatst gewijzigd meer dan 5 jaar geleden

Verwante presentaties

Presentatie over: "… een poging tot verheldering …"— Transcript van de presentatie:

1 … een poging tot verheldering …
Introductie IPSec … een poging tot verheldering … Lex Zwetsloot

2 Wat is IPSec? Een raamwerk voor IP-Security - Later in IPv4 toegevoegde beveiliging op de IP-laag - Standaard ingebouwd in IPv6 Beveiliging in de vorm van: - Vertrouwelijk transport (confidentiality) - Geauthenticeerd transport (integrity) Complex … - een hele verzameling protocollen - een hele verzameling processen - een hele verzameling regels

3 IPSec raamwerk Main mode ESP ISAKMP AH IKE Quick mode Transport mode
MD5 Tunnel Mode DES SHA-1 Diffie-Hellman group Oakley PFS RSA SA

4 Waarom IPSec? Transparantie - Onafhankelijk van Applicaties in hogere lagen Filtering met veel mogelijkheden - bijv. Alleen verkeer beveiligen … * van IP-adres x.x.x.x naar y.y.y.y, (mask /m) * van of naar UDP / TCP poortnummer n * van bepaald connectietype (LAN, Remote Access) Echt veilig!! - … Indien goed opgezet …

5 Wanneer IPSec? Beveiliging van (selectief) intern verkeer: Vertrouwelijke behandeling van gegevens binnen een afdeling of tussen afdelingen - Salaris-, HR-, of andere bedrijfskritische informatie Beveiliging van extern verkeer: Vertrouwelijkheid of authenticiteit van transport over WAN links - Communicatie met filialen en partners

6 Wanneer geen IPSec? Als betere (eenvoudiger) alternatieven beschikbaar zijn - SSL/TLS voor HTTP, SMTP, POP3 etc. Als vertrouwelijkheid of authenticiteit overbodig zijn - Internet browsing vanuit openbare ruimte Als er al een voldoende mate van bescherming bestaat X met EAP-TLS of EAP-MS-CHAPv2 (Port-based access control)

7 Hoe werkt IPSec? Door complexiteit van raamwerk is IPSec Policy driven - Local policies aan weerskanten van connectie - Group Policies in Active Directory Afhankelijk van gekozen strategie of toepassing: - Transport mode - Tunnel mode In fasen: - Main Mode (Key-Exchange, Security Associations) - Quick Mode (Confidential Bytes)

8 Hoe werkt IPSec? (2/6) Policy driven: - Policy is opgebouwd uit één of meer rules - Rule ondersteunt één of meer auth. methoden - Rule is opgebouwd uit één of meer filter sets - Filter set bevat één of meer filters - Filter definieert één of meer acties (Permit, Block of Negotiate Security) Per host kan slechts één policy tegelijk worden assigned

9 Hoe werkt IPSec? (3/6) Drie IPSec modelpolicies in OS aanwezig: * Client (Respond Only) * Server (Request Security) * Secure Server (Require Security) Local IPSec policies zijn bruikbaar, maar: - kans op inconsistencies groter bij meer hosts - noodzakelijk bij afwezigheid Active Directory

10 Hoe werkt IPSec? (4/6) Breakdown IPSec demo Policy: “Server (Request Security)” Not Assigned Policy Omschrijving: For all IP Traffic, always request security using Kerberos trust. Allow unsecured communications with clients that do not respond to request.

11 Hoe werkt IPSec? (5/6) Breakdown IPSec demo Policy: “Server (Request Security)” Rule Rule Policy Rule

12 Hoe werkt IPSec? (5/..)6 Breakdown IPSec demo Policy: “Server (Request Security)” Filter Rule Rule Rule = Filter + Action Policy Rule

13 Hoe werkt IPSec? (5/..) Filter Rule = Filter + Action Breakdown IPSec demo Policy: “Server (Request Security)” Rule Action Rule Policy Rule

14 Hoe werkt IPSec? (5/6) Filter Rule = Filter + Action Breakdown IPSec demo Policy: “Server (Request Security)” Rule Action Rule Policy Rule

15 Hoe werkt IPSec? (6/6) Policy -> Rule -> Filter -> Filter Action -> Security Methods > Filter Traffic > Authentication Methods > Tunnel Settings > Connection Type Rule 1 Rule 2

16 IPSec in Transport Mode
Endpoint-to-endpoint (host-to-host) security (Security association is transparant voor routers etc.) Type verkeer: * AH, Authentication Header -> Integrity Protocollen voor integrity: SHA1, Secure Hashing Algorithm MD5, Message Digest 5 * ESP Encrypted Security Payload -> Confidentiality Protocollen voor Confidentiality: DES, “Triple”-DES DES, Data Encryption Standard

17 IPSec sessie-opbouw IPSec Policy (Local of GPO) Client (Respond Only)
Server (Request security) Filter: <Dynamic> Filter: All IP-Traffic Action: Default Response Action: Request Security Authentication: Kerberos Authentication: Kerberos No Tunnel Connection Type: All

18 IPSec sessie-opbouw IPSec Policy (Local of GPO) Client (Respond Only)
Server (Request security) Action: Default Response Filter: <Dynamic> Authentication: Kerberos Filter: All IP-Traffic Action: Request Security No Tunnel Authentication: Kerberos Connection Type: All

19 IPSec sessie-opbouw (Transport Mode)
TCP SYN ISAKMP IKE SA PROPOSAL IKE SA ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) Quick Mode IPSec SA Data IPSec SA Data Client (Respond Only) Server (Request security)

20 IPSec in Tunnel Mode Definieert Tunnel Endpoints: * AH, Authentication Header -> Integrity Protocollen voor integrity: SHA1, Secure Hashing Algorithm MD5, Message Digest 5 * ESP Encrypted Security Payload -> Confidentiality Protocollen voor Confidentiality: DES, “Triple”-DES DES, Data Encryption Standard

21 IPSec sessie-opbouw (Tunnel Mode)
Data IPSec SA TCP SYN Data ISAKMP IKE SA PROPOSAL ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) IPSec SA Tunnel Endpoints Data

22 IPSec sessie-opbouw (Tunnel Mode)
IPSec SA TCP SYN ISAKMP IKE SA PROPOSAL ISAKMP IKE SA RESPONSE IKE / Oakley (Main Mode) IKE / Oakley (Main Mode) IPSec SA Data Data Data

23 IPSec (AH) in Transport Mode
AH is IP protocol 51 Orig IP Hdr TCP Hdr Data AH Hdr Insert Orig IP Hdr TCP Hdr Data Next Hdr Payload Len Rsrv SecParamIndex Seq# Keyed Hash Integrity hash bereik Vr.: Waarom kan AH niet door NAT barriere?

24 IPSec (ESP) in Transport Mode
Orig IP Hdr TCP Hdr Data ESP Hdr Insert ESP Trailer ESP Auth Append Orig IP Hdr TCP Hdr Data Meestal encrypted Integrity hash bereik ESP is IP protocol 50

25 IPsec (ESP) in tunnel mode
Orig IP Hdr TCP Hdr Data Data TCP Hdr IP Hdr IPHdr Nieuwe IP header met source en destination IP address ESP Hdr ESP Trailer ESP Auth Encrypted Integrity hash omvang

26 ISAKMP (RFC 2408) Internet Security Association Key Management Protocol Raamwerk voor het uitwisselen van sleutelmateriaal in Main Mode (TCP port 500) - Automatisch; IKE (RFC 2409), Oakley (RFC 2412), SKEME - Handmatig IKE Internet Key Exchange (RFC 2409) Protocol voor het automatisch uitwisselen van sleutels Gebruikt Oakley, SKEME en Diffie-Hellman groepen: - Groep 1: bits keys - Groep 2: bits keys (Win 2000 / XP) - Groep 2048: bits keys (Win 2003)

27 Main mode vs Quick mode Main mode: IKE Security Association (IKE SA: bidirectional) - Afstemmen integrity en encryptieprotocollen - Uitwisselen key materiaal (Diffie-Hellman group) Quick mode: IPSec Security Association (IPSec SA: 2x unidirectional) - Integrity (MD5, SHA1) - Encryptie Session keys afgeleid van DH-groep in Main Mode, tenzij PFS is ingeschakeld (High security)

28 Perfect Forward Secrecy (PFS)
Uitgeschakeld: Nieuwe sessiesleutels afgeleid van DH keys uit Main Mode. - Sneller Ingeschakeld: Nieuwe sessiesleutels steeds opnieuw aangemaakt. Vereist re-authenticatie (herhaling IKE-Diffie Hellman Main Mode). - Veiliger maar trager

29 IPSec Links: Vragen?

Download ppt "… een poging tot verheldering …"

Verwante presentaties

Hardware voor draadloos netwerk

Hardware voor draadloos netwerk
Tevens elke bedrijfsPC direct op het internet niet erg veilig

Tevens elke bedrijfsPC direct op het internet niet erg veilig
Netwerken soorten verbindingen protocollen soorten signalen

Netwerken soorten verbindingen protocollen soorten signalen
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.

EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.

Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.
Blok 7: netwerken Les 7 Christian Bokhove.

Blok 7: netwerken Les 7 Christian Bokhove.
Blok 7: netwerken Les 6 Christian Bokhove. Internet Protocol - IP  De Internet Service verschaft een dienst die: – Vebindingsloos is – Onbetrouwbaar.

Blok 7: netwerken Les 6 Christian Bokhove. Internet Protocol - IP  De Internet Service verschaft een dienst die: – Vebindingsloos is – Onbetrouwbaar.
Internet College 1 Architecturen.

Internet College 1 Architecturen.
Voorbeeld Betaalautomaat objecten (“wie”) klant bank interface (“wat”)

Voorbeeld Betaalautomaat objecten (“wie”) klant bank interface (“wat”)
Dorien Oostra Tanja van Essen Charlotte Westbroek

Dorien Oostra Tanja van Essen Charlotte Westbroek
Vervolg theorie Orientatie voor de nieuwe opdracht.

Vervolg theorie Orientatie voor de nieuwe opdracht.
Tentamen Maandag, 1 juli H en H.2.403

Tentamen Maandag, 1 juli H en H.2.403
Presentatie Thuisnetwerken

Presentatie Thuisnetwerken
Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.

Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.
SSL, HTTPS en SSH Johnny Schaap.

SSL, HTTPS en SSH Johnny Schaap.
Enkele weetjes Hoe stel ik een router in als access point

Enkele weetjes Hoe stel ik een router in als access point
... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.

... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.
Blok 7: netwerken Les 8 Christian Bokhove.

Blok 7: netwerken Les 8 Christian Bokhove.
WiFi netwerk Door Nico Van Damme.

WiFi netwerk Door Nico Van Damme.
Computernetwerken Deel 2

Computernetwerken Deel 2

Verwante presentaties

Ads door Google