הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

Slides:



Advertisements
Similar presentations
Computer Science CSC 474Dr. Peng Ning1 CSC 474 Information Systems Security Topic 4.2: IPsec.
Advertisements

CS470, A.SelcukIPsec – AH & ESP1 CS 470 Introduction to Applied Cryptography Instructor: Ali Aydin Selcuk.
Internet Security CSCE 813 IPsec
1 Formal Specifications for Complex Systems (236368) Tutorial #4 Refinement in Z: data refinement; operations refinement; their combinations.
IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:  CEO2: Use both transport mode and tunnel mode IPSec.
Network Security. Reasons to attack Steal information Modify information Deny service (DoS)
IP SECURITY – Chapter 16 IP SECURITY – Chapter 16 Security Mechanisms: – S/MIME, PGP client/server - Kerberos web access - Secure Sockets Layer network.
ECE 454/CS 594 Computer and Network Security Dr. Jinyuan (Stella) Sun Dept. of Electrical Engineering and Computer Science University of Tennessee Fall.
1 Lecture 15: IPsec AH and ESP IPsec introduction: uses and modes IPsec concepts –security association –security policy database IPsec headers –authentication.
IP Security. Overview In 1994, Internet Architecture Board (IAB) issued a report titled “Security in the Internet Architecture”. This report identified.
IPsec: Internet Protocol Security Chong, Luon, Prins, Trotter.
הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, Cheswick, Bellovin. Firewalls.
הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP
הגנה במערכות מתוכנתות תרגול 1 – המחשב האישי הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
1 Formal Specifications for Complex Systems (236368) Tutorial #5 Refinement in Z: data refinement; operations refinement; their combinations.
Intro To Secure Comm. Exercise 6. Problem A vendor wishes to incorporate the following:  Upon any login/change the vendor updates the cookie Cookie(SessionTime||{Item||Price})
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
Formal Specifications for Complex Systems (236368) Tutorial #6 appendix Statecharts vs. Raphsody 7 (theory vs. practice)
הגנה במערכות מתוכנתות תרגול 10 – חומות אש – Firewalls הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
IP Security. IPSEC Objectives n Band-aid for IPv4 u Spoofing a problem u Not designed with security or authentication in mind n IP layer mechanism for.
VPN – Technologies and Solutions CS158B Network Management April 11, 2005 Alvin Tsang Eyob Solomon Wayne Tsui.
K. Salah1 Security Protocols in the Internet IPSec.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 23 Virtual Private Networks (VPNs)
Protocol Basics. IPSec Provides two modes of protection –Tunnel Mode –Transport Mode Authentication and Integrity Confidentiality Replay Protection.
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
_______________________________________________________________________________________________________________ E-Commerce: Fundamentals and Applications1.
1 Network Security Lecture 8 IP Sec Waleed Ejaz
Advanced Unix 25 Oct 2005 An Introduction to IPsec.
TCP/IP Protocols Contains Five Layers
McGraw-Hill © ©The McGraw-Hill Companies, Inc., 2004 Chapter 31 Security Protocols in the Internet.
IPSec IPSec provides the capability to secure communications across a LAN, across private and public wide area networks (WANs) and across the Internet.
8-1 Chapter 8 Security Computer Networking: A Top Down Approach 6 th edition Jim Kurose, Keith Ross Addison-Wesley March 2012 part 4: Securing IP.
Karlstad University IP security Ge Zhang
IPSec ● IP Security ● Layer 3 security architecture ● Enables VPN ● Delivers authentication, integrity and secrecy ● Implemented in Linux, Cisco, Windows.
1 Virtual Private Networks (VPNs) and IP Security (IPSec) G53ACC Chris Greenhalgh.
IP Security: Security Across the Protocol Stack. IP Security There are some application specific security mechanisms –eg. S/MIME, PGP, Kerberos, SSL/HTTPS.
FreeS/WAN & VPN Cory Petkovsek VPN: Virtual Private Network – a secure tunnel through untrusted networks. IP Security (IPSec): a standardized set of authentication.
Chapter 32 Internet Security Copyright © The McGraw-Hill Companies, Inc. Permission required for reproduction or display.
1 CMPT 471 Networking II Authentication and Encryption © Janice Regan,
IP security Ge Zhang Packet-switched network is not Secure! The protocols were designed in the late 70s to early 80s –Very small network.
Securing Data Transmission and Authentication. Securing Traffic with IPSec IPSec allows us to protect our network from within IPSec secures the IP protocol.
1 Lecture 13 IPsec Internet Protocol Security CIS CIS 5357 Network Security.
IPSec VPN Chapter 13 of Malik. 2 Outline Types of IPsec VPNs IKE (or Internet Key Exchange) protocol.
Security IPsec 1 * Essential Network Security Book Slides. IT352 | Network Security |Najwa AlGhamdi 1.
IPSec – IP Security Protocol By Archis Raje. What is IPSec IP Security – set of extensions developed by IETF to provide privacy and authentication to.
IPSec is a suite of protocols defined by the Internet Engineering Task Force (IETF) to provide security services at the network layer. standard protocol.
1 תרגול 11: Design Patterns ומחלקות פנימיות אסף זריצקי ומתי שמרת 1 תוכנה 1.
1 IPSec: An Overview Dr. Rocky K. C. Chang 4 February, 2002.
IPSEC Modes of Operation. Breno de MedeirosFlorida State University Fall 2005 IPSEC  To establish a secure IPSEC connection two nodes must execute a.
K. Salah1 Security Protocols in the Internet IPSec.
Computer Science and Engineering Computer System Security CSE 5339/7339 Session 27 November 23, 2004.
8-1Network Security Virtual Private Networks (VPNs) motivation:  institutions often want private networks for security.  costly: separate routers, links,
@Yuan Xue CS 285 Network Security IP Security Yuan Xue Fall 2013.
VPNs & IPsec Dr. X Slides adopted by Prof. William Enck, NCSU.
CSE 4905 IPsec.
Chapter 18 IP Security  IP Security (IPSec)
Internet and Intranet Fundamentals
IT443 – Network Security Administration Instructor: Bo Sheng
IPSec IPSec is communication security provided at the network layer.
תקשורת ומחשוב תרגול 1 IP, Classes and Masks.
תרגול 10 – חומות אש – Firewalls
תרגול 11 – אבטחה ברמת ה-IP – IPsec
Security Protocols in the Internet
Virtual Private Networks (VPNs)
Presentation transcript:

הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות - תרגול 122 (c) אריק פרידמן 2007 שירותי אבטחה של IPsec סודיות ההודעות  באמצעות הצפנות אימות ושלמות המידע  ע"י חישוב MAC. אימות השולח  ההצפנות וה-MAC תלויים במפתח סימטרי סודי הגנה כנגד replay attack  ע"י מספר סידורי שיצורף לכל חבילה Application Data TCP/UDP IPsec IP MAC

הגנה במערכות מתוכנתות - תרגול 123 (c) אריק פרידמן 2007 סקירה - מה נראה איך משתמשים ב-IPsec  Transport Mode – הגנה מקצה לקצה  Tunnel Mode – הגנה בין רשתות מבנה IPsec – שני תתי-פרוטוקולים  ESP – הצפנה ו/או אימות ובדיקת שלמות המידע  AH – אימות ובדיקת שלמות מידע מבני הנתונים בהם IPsec משתמש  SAD – רשומות הנחוצות להגנה על התקשורת  SPD – מדיניות הטיפול בחבילות IKE – פרוטוקול להסכמה על מפתחות (בתרגול הבא)

הגנה במערכות מתוכנתות - תרגול 124 (c) אריק פרידמן 2007 אופני הפעולה של IPsec: Transport Mode Tunnel Mode

הגנה במערכות מתוכנתות - תרגול 125 (c) אריק פרידמן 2007 Transport Mode המטרה : לספק בטיחות מקצה לקצה כאשר x רוצה לשלוח חבילה ל-y:  מחשב x יפעיל IPsec על החבילה, ישלח אותה ל-y.  מחשב y יאמת ויפענח את החבילה.  החבילה מוגנת בפרט בתוך הרשתות A ו-B. Internet Network A Network B x y החבילה מאובטחת לאורך כל המסלול מ-x ל-y

הגנה במערכות מתוכנתות - תרגול 126 (c) אריק פרידמן 2007 מבנה החבילה ב-Transport Mode Application TCP/UDP IPsec IP: x  y MAC Application TCP/UDP IP MAC חבילה סטנדרטיתחבילה ב-Transport Mode

הגנה במערכות מתוכנתות - תרגול 127 (c) אריק פרידמן 2007 Tunnel Mode המטרה : לספק בטיחות מחוץ לרשת הפנימית מופעל ע"י security gateways ביציאה מהרשתות GWA ו-GWB מפעילים IPsec על החבילות: Internet Network A Network B x y החבילה מאובטחת בין GWA ל-GWB בלבד GWAGWB

הגנה במערכות מתוכנתות - תרגול 128 (c) אריק פרידמן 2007 מבנה החבילה ב-Tunnel Mode Application TCP/UDP IP: x  y MAC Application TCP/UDP IP: x  y IPsec IP: GWA  GWB MAC Application TCP/UDP IP: x  y MAC x y GWAGWB Network ANetwork BInternet GWA-GWB Tunnel

הגנה במערכות מתוכנתות - תרגול 129 (c) אריק פרידמן 2007 Tunnel Mode vs. Transport Mode יתרונות של Tunnel Mode על-פני Transport Mode:  מספיק להתקין IPsec רק על ה-Security Gateways. קל יותר לנהל מדיניות בטיחות ברשת. השימוש ב-IPsec שקוף למחשבים ברשת הפנימית.  במקרה של הצפנה, הכתובות הפנימיות ברשת מוסתרות. חסרון של Tunnel Mode לעומת Transport Mode:  אין הגנה על החבילות בתוך הרשתות.

הגנה במערכות מתוכנתות - תרגול 1210 (c) אריק פרידמן 2007 דוגמאות לשימוש ב-Tunnel Mode

הגנה במערכות מתוכנתות - תרגול 1211 (c) אריק פרידמן 2007 VPN – Virtual Private Network רשת וירטואלית מוגנת על-גבי רשת ציבורית

הגנה במערכות מתוכנתות - תרגול 1212 (c) אריק פרידמן 2007 מספר רמות אבטחה ברשת  למשל, מדיניות החברה: יש להצפין כל חבילה יוצאת מ-A ל-B. יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים. Tunnel in Tunnel Internet Network A Network B m z GWB GWM GWA Subnet M

הגנה במערכות מתוכנתות - תרגול 1213 (c) אריק פרידמן 2007 איך יראו החבילות במקרה זה? Application TCP/UDP IP: m  z MAC Application TCP/UDP IP: m  z IPsec IP: GWM  GWB IPsec IP: GWA  GWB MAC Application TCP/UDP IP: m  z MAC m z GWAGWB Subnet MNetwork B Internet GWM Network A A-B Tunnel M-B Tunnel Application TCP/UDP IP: m  z IPsec IP: GWM  GWB MAC

הגנה במערכות מתוכנתות - תרגול 1214 (c) אריק פרידמן 2007 Tunnel Mode מול מחשב שאינו מאחורי Gateway  לדוגמה, מנהל שרוצה להתחבר לרשת מהבית. המחשב שלו יצטרך לשמש כ-gateway של עצמו. דוגמאות לשימוש ב-Tunnel Mode Internet Network A m w GWM GWA Subnet M

הגנה במערכות מתוכנתות - תרגול 1215 (c) אריק פרידמן 2007 מבנה הנתונים SAD Security Association Database

הגנה במערכות מתוכנתות - תרגול 1216 (c) אריק פרידמן 2007 רשומות הכוללות מידע הנחוץ לצורך ההגנה על התקשורת תוך שימוש ב-IPsec כל רשומה נקראת SA (Security Association) לכל session יהיה זוג SA בכל מחשב:  אחד עבור חבילות נכנסות של ה-Session  אחד עבור חבילות יוצאות של ה-Session לכן ה-SAD יהיה מורכב משני חלקים:  Outgoing SAD (SA לחבילות יוצאות)  Incoming SAD (SA לחבילות נכנסות) SAD – Security Association DB

הגנה במערכות מתוכנתות - תרגול 1217 (c) אריק פרידמן 2007 כל רשומה מכילה:  אלגוריתמי הצפנה ו-MAC  מפתחות עבור האלגוריתמים  Sequence Number  Lifetime  SPI (Security Parameter Index) האינדקס של ה-SA הנוכחי אצל הצד השני מה כולל SA?

הגנה במערכות מתוכנתות - תרגול 1218 (c) אריק פרידמן 2007 ויותר בפירוט... SA DataUserSPI 1 … … …,SPI=13A24 …,SPI=20X25 SA DataUserSPI 1 … … …A22 …X25 SA DataUserSPI 1 … …,SPI=22B17 … …,SPI=5Y38 SA DataUserSPI 1 … …B13 … …Y44 User A’s SAD User B’s SAD Outgoing SAD Outgoing SAD Incoming SAD Incoming SAD

הגנה במערכות מתוכנתות - תרגול 1219 (c) אריק פרידמן 2007 תתי הפרוטוקולים של IPsec: ESP (Encapsulating Security Payload) AH (Authentication Header)

הגנה במערכות מתוכנתות - תרגול 1220 (c) אריק פרידמן 2007 מבצע הצפנה ו/או אימות של מידע. ESP (Encapsulating Security Payload) הגנה בפני Replay Attack לאיזה שכבה יש להעביר את החבילה

הגנה במערכות מתוכנתות - תרגול 1221 (c) אריק פרידמן 2007 בשליחת חבילה קודם מצפינים ורק אח"כ מחשבים אימות  בקבלת החבילה אם האימות נכשל חסכנו זמן פענוח שימוש בהצפנה יוצר בעיה ליישומים כמו PF Firewall שימוש ב-Tunnel Mode מאפשר להסתיר מבנה פנימי של רשת פרטית ESP מוסיף לא רק ESP Header אלא גם trailer  (Authentication data) הערות

הגנה במערכות מתוכנתות - תרגול 1222 (c) אריק פרידמן 2007 AH (Authentication Header) האימות מבוצע על:  כל השכבות שמעל ל-AH.  כל השדות של ה-AH Header פרט ל-Authenticaion Data שמאופס לצורך החישוב  ה-IP Header שמופיע מתחת ל-AH Header. חלק מהשדות מאופסים. ReservedPayload LengthNext Protocol SPI Sequence Number Authentication Data Application TCP/UDP IPsec IP: x  y MAC

הגנה במערכות מתוכנתות - תרגול 1223 (c) אריק פרידמן 2007 ESP vs. AH AH מבצע אימות על מידע רב יותר מאשר ESP. למרות זה, האימות שלו אינו טוב יותר!  כל התקפה שניתן לבצע על ESP, ניתן לבצע גם על AH. השימוש ב-AH עלול ליצור בעיה לפרוטוקולים אחרים  לדוגמה, פרוטוקול NAT.

הגנה במערכות מתוכנתות - תרגול 1224 (c) אריק פרידמן 2007 פרוטוקול NAT נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות IP.  בתוך הרשת A מוקצות כתובות IP מקומיות. לא בהכרח כתובות חוקיות  ביציאה מרשת הארגון, שרת ה-NAT מחליף כתובת מקומית ברשת שהוקצתה לרשת A (כנ"ל בכניסה לרשת) Internet Network A x y NAT

הגנה במערכות מתוכנתות - תרגול 1225 (c) אריק פרידמן 2007 פרוטוקול NAT - דוגמה Application TCP/UDP IP: IP A  IP y MAC Application TCP/UDP IP: IP x  IP y MAC y NAT Server Internet x Network A שינוי כתובת ה-IP ע"י שרת ה- NAT פוגע באימות של AH: y יזרוק את החבילה...

הגנה במערכות מתוכנתות - תרגול 1226 (c) אריק פרידמן 2007 SPD (Security Policy Database)

הגנה במערכות מתוכנתות - תרגול 1227 (c) אריק פרידמן 2007 SPD מגדיר את מדיניות ההגנה של המערכת.  יש SPD עבור תעבורה נכנסת, ו-SPD עבור תעבורה יוצאת. טבלת חוקים המוגדרת ע"י מנהל מערכת  דומה לטבלאות של Packet Filtering Firewall (בפרט אפשר להשתמש ב-SPD כ-Firewall כזה): 3 אפשרויות עבור שדה Action:  drop – חבילה נזרקת  forward – חבילה עוברת בצורה רגילה  secure – חבילה עוברת לאחר הפעלת IPsec SPD מגדיר גם את אופן הפעלת IPsec (AH/ESP, SPI, הפעלת IKE,...) ניתן להשתמש ב-WildCards. מה עושים אם SPD מחזיר secure עבור חבילה נכנסת ללא IPsec? Additional ParametersActionDestination Port Source Port Next Protocol Destination Address Source Address Rule

הגנה במערכות מתוכנתות - תרגול 1228 (c) אריק פרידמן 2007 התמונה הכללית – שליחת חבילה

הגנה במערכות מתוכנתות - תרגול 1229 (c) אריק פרידמן 2007 התמונה הכללית – קבלת חבילה למה צריך לבדוק את זה אם כבר פענחנו את החבילה?!?

הגנה במערכות מתוכנתות - תרגול 1230 (c) אריק פרידמן 2007 בדיקת SPI – למה? מניעת התחזות (IP Spoofing)  w מרשה ל-x ול-y לבצע telnet אליו אבל הם חייבים להוסיף אימות.  מונעים מ-x לבצע IP Spoofing על הכתובת של y. מניעת עקיפת מדיניות מערכת  ל-x מותר לבצע telnet ל-w רק עם אימות.  ל-x אסור לבצע http ל-w.  מונעים מ-x לשלוח http. http data TCP: dest. port 80 IPsec: SPI = SPI telnet IP: x  w MAC telnet data TCP IPsec: SPI = SPI x-w IP: y  w MAC xw xw

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.