Download presentation
Presentation is loading. Please wait.
1
תרגול 11 – אבטחה ברמת ה-IP – IPsec
הגנה במערכות מתוכנתות תרגול 11 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
2
הגנה במערכות מתוכנתות - תרגול 11
שירותי אבטחה של IPsec Application Data TCP/UDP IPsec IP MAC סודיות ההודעות באמצעות הצפנות אימות ושלמות המידע ע"י חישוב MAC. אימות השולח ההצפנות וה-MAC תלויים במפתח סימטרי סודי הגנה כנגד replay attack ע"י מספר סידורי שיצורף לכל חבילה (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
3
הגנה במערכות מתוכנתות - תרגול 11
סקירה - מה נראה איך משתמשים ב-IPsec Transport Mode – הגנה מקצה לקצה Tunnel Mode – הגנה בין רשתות מבנה IPsec – שני תתי-פרוטוקולים ESP – הצפנה ו/או אימות ובדיקת שלמות המידע AH – אימות ובדיקת שלמות מידע מבני הנתונים בהם IPsec משתמש SAD – רשומות הנחוצות להגנה על התקשורת SPD – מדיניות הטיפול בחבילות IKE – פרוטוקול להסכמה על מפתחות (בתרגול הבא) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
4
אופני הפעולה של IPsec: Transport Mode Tunnel Mode
הגנה במערכות מתוכנתות - תרגול 11
5
הגנה במערכות מתוכנתות - תרגול 11
Transport Mode המטרה : לספק בטיחות מקצה לקצה כאשר x רוצה לשלוח חבילה ל-y: מחשב x יפעיל IPsec על החבילה, ישלח אותה ל-y. מחשב y יאמת ויפענח את החבילה. החבילה מוגנת בפרט בתוך הרשתות A ו-B. Internet Network A Network B x y החבילה מאובטחת לאורך כל המסלול מ-x ל-y (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
6
מבנה החבילה ב-Transport Mode
חבילה סטנדרטית Application TCP/UDP IPsec IP: x y MAC Application TCP/UDP IP MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
7
הגנה במערכות מתוכנתות - תרגול 11
Tunnel Mode המטרה : לספק בטיחות מחוץ לרשת הפנימית מופעל ע"י security gateways ביציאה מהרשתות GWA ו-GWB מפעילים IPsec על החבילות: Internet Network A Network B x y החבילה מאובטחת בין GWA ל-GWB בלבד GWA GWB (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
8
מבנה החבילה ב-Tunnel Mode
x y GWA GWB Network A Network B Internet GWA-GWB Tunnel Application TCP/UDP IP: x y IPsec IP: GWA GWB MAC Application TCP/UDP IP: x y MAC Application TCP/UDP IP: x y MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
9
Tunnel Mode vs. Transport Mode
יתרונות של Tunnel Mode על-פני Transport Mode: מספיק להתקין IPsec רק על ה-Security Gateways. קל יותר לנהל מדיניות בטיחות ברשת. השימוש ב-IPsec שקוף למחשבים ברשת הפנימית. במקרה של הצפנה, הכתובות הפנימיות ברשת מוסתרות. חסרון של Tunnel Mode לעומת Transport Mode: אין הגנה על החבילות בתוך הרשתות. (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
10
דוגמאות לשימוש ב-Tunnel Mode
(c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
11
VPN – Virtual Private Network
רשת וירטואלית מוגנת על-גבי רשת ציבורית (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
12
הגנה במערכות מתוכנתות - תרגול 11
Tunnel in Tunnel מספר רמות אבטחה ברשת למשל, מדיניות החברה: יש להצפין כל חבילה יוצאת מ-A ל-B. יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים. Internet Network A Network B m z GWB GWM GWA Subnet M (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
13
איך יראו החבילות במקרה זה?
m z GWA GWB Subnet M Network B Internet GWM Network A A-B Tunnel M-B Tunnel Application TCP/UDP IP: m z IPsec IP: GWM GWB IP: GWA GWB MAC Application TCP/UDP IP: m z IPsec IP: GWM GWB MAC Application TCP/UDP IP: m z MAC Application TCP/UDP IP: m z MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
14
דוגמאות לשימוש ב-Tunnel Mode
Tunnel Mode מול מחשב שאינו מאחורי Gateway לדוגמה, מנהל שרוצה להתחבר לרשת מהבית. המחשב שלו יצטרך לשמש כ-gateway של עצמו. Network A m GWM GWA Internet Subnet M w (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
15
מבנה הנתונים SAD Security Association Database
הגנה במערכות מתוכנתות - תרגול 11
16
SAD – Security Association DB
רשומות הכוללות מידע הנחוץ לצורך ההגנה על התקשורת תוך שימוש ב-IPsec כל רשומה נקראת SA (Security Association) לכל session יהיה זוג SA בכל מחשב: אחד עבור חבילות נכנסות של ה-Session אחד עבור חבילות יוצאות של ה-Session לכן ה-SAD יהיה מורכב משני חלקים: Outgoing SAD (SA לחבילות יוצאות) Incoming SAD (SA לחבילות נכנסות) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
17
הגנה במערכות מתוכנתות - תרגול 11
מה כולל SA? כל רשומה מכילה: אלגוריתמי הצפנה ו-MAC מפתחות עבור האלגוריתמים Sequence Number Lifetime SPI (Security Parameter Index) האינדקס של ה-SA הנוכחי אצל הצד השני (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
18
הגנה במערכות מתוכנתות - תרגול 11
ויותר בפירוט... User A’s SAD SA Data User SPI 1 … …,SPI=22 B 17 …,SPI=5 Y 38 User B’s SAD SA Data User SPI 1 … …,SPI=13 A 24 …,SPI=20 X 25 Outgoing SAD Outgoing SAD SA Data User SPI 1 … B 13 Y 44 SA Data User SPI 1 … A 22 X 25 Incoming SAD Incoming SAD (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
19
הגנה במערכות מתוכנתות - תרגול 11
תתי הפרוטוקולים של IPsec: ESP (Encapsulating Security Payload) AH (Authentication Header) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
20
ESP (Encapsulating Security Payload)
מבצע הצפנה ו/או אימות של מידע. הגנה בפני Replay Attack לאיזה שכבה יש להעביר את החבילה (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
21
הגנה במערכות מתוכנתות - תרגול 11
הערות בשליחת חבילה קודם מצפינים ורק אח"כ מחשבים אימות בקבלת החבילה אם האימות נכשל חסכנו זמן פענוח שימוש בהצפנה יוצר בעיה ליישומים כמו PF Firewall שימוש ב-Tunnel Mode מאפשר להסתיר מבנה פנימי של רשת פרטית ESP מוסיף לא רק ESP Header אלא גם trailer (Authentication data) (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
22
AH (Authentication Header)
האימות מבוצע על: כל השכבות שמעל ל-AH. כל השדות של ה-AH Header פרט ל-Authenticaion Data שמאופס לצורך החישוב ה-IP Header שמופיע מתחת ל-AH Header. חלק מהשדות מאופסים. Application TCP/UDP IPsec IP: x y MAC Reserved Payload Length Next Protocol SPI Sequence Number Authentication Data (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
23
הגנה במערכות מתוכנתות - תרגול 11
ESP vs. AH AH מבצע אימות על מידע רב יותר מאשר ESP. למרות זה, האימות שלו אינו טוב יותר! כל התקפה שניתן לבצע על ESP, ניתן לבצע גם על AH. השימוש ב-AH עלול ליצור בעיה לפרוטוקולים אחרים לדוגמה, פרוטוקול NAT. (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
24
הגנה במערכות מתוכנתות - תרגול 11
פרוטוקול NAT נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות IP. בתוך הרשת A מוקצות כתובות IP מקומיות. לא בהכרח כתובות חוקיות ביציאה מרשת הארגון, שרת ה-NAT מחליף כתובת מקומית ברשת שהוקצתה לרשת A (כנ"ל בכניסה לרשת) Internet Network A x y NAT (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
25
פרוטוקול NAT - דוגמה y x NAT Server Network A Internet Application
TCP/UDP IP: IPx IPy MAC Application TCP/UDP IP: IPA IPy MAC שינוי כתובת ה-IP ע"י שרת ה-NAT פוגע באימות של AH: y יזרוק את החבילה... (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
26
SPD (Security Policy Database)
הגנה במערכות מתוכנתות - תרגול 11
27
SPD מגדיר את מדיניות ההגנה של המערכת.
יש SPD עבור תעבורה נכנסת, ו-SPD עבור תעבורה יוצאת. טבלת חוקים המוגדרת ע"י מנהל מערכת דומה לטבלאות של Packet Filtering Firewall (בפרט אפשר להשתמש ב-SPD כ-Firewall כזה): 3 אפשרויות עבור שדה Action: drop – חבילה נזרקת forward – חבילה עוברת בצורה רגילה secure – חבילה עוברת לאחר הפעלת IPsec SPD מגדיר גם את אופן הפעלת IPsec (AH/ESP, SPI, הפעלת IKE,...) ניתן להשתמש ב-WildCards. Additional Parameters Action Destination Port Source Next Protocol Address Rule מה עושים אם SPD מחזיר secure עבור חבילה נכנסת ללא IPsec? (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
28
התמונה הכללית – שליחת חבילה
(c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
29
התמונה הכללית – קבלת חבילה
למה צריך לבדוק את זה אם כבר פענחנו את החבילה?!? (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
30
הגנה במערכות מתוכנתות - תרגול 11
בדיקת SPI – למה? x w telnet data TCP IPsec: SPI = SPIx-w IP: y w MAC מניעת התחזות (IP Spoofing) w מרשה ל-x ול-y לבצע telnet אליו אבל הם חייבים להוסיף אימות. מונעים מ-x לבצע IP Spoofing על הכתובת של y. מניעת עקיפת מדיניות מערכת ל-x מותר לבצע telnet ל-w רק עם אימות. ל-x אסור לבצע http ל-w. מונעים מ-x לשלוח http. x w http data TCP: dest. port 80 IPsec: SPI = SPItelnet IP: x w MAC (c) אריק פרידמן 2008 הגנה במערכות מתוכנתות - תרגול 11
Similar presentations
© 2024 SlidePlayer.com. Inc.
All rights reserved.