Presentation is loading. Please wait.

Presentation is loading. Please wait.

הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

Published by Modified over 9 years ago

Similar presentations

Presentation on theme: "הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד."— Presentation transcript:

1 הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

2 הגנה במערכות מתוכנתות - תרגול 122 (c) אריק פרידמן 2007 שירותי אבטחה של IPsec סודיות ההודעות  באמצעות הצפנות אימות ושלמות המידע  ע"י חישוב MAC. אימות השולח  ההצפנות וה-MAC תלויים במפתח סימטרי סודי הגנה כנגד replay attack  ע"י מספר סידורי שיצורף לכל חבילה Application Data TCP/UDP IPsec IP MAC

3 הגנה במערכות מתוכנתות - תרגול 123 (c) אריק פרידמן 2007 סקירה - מה נראה איך משתמשים ב-IPsec  Transport Mode – הגנה מקצה לקצה  Tunnel Mode – הגנה בין רשתות מבנה IPsec – שני תתי-פרוטוקולים  ESP – הצפנה ו/או אימות ובדיקת שלמות המידע  AH – אימות ובדיקת שלמות מידע מבני הנתונים בהם IPsec משתמש  SAD – רשומות הנחוצות להגנה על התקשורת  SPD – מדיניות הטיפול בחבילות IKE – פרוטוקול להסכמה על מפתחות (בתרגול הבא)

4 הגנה במערכות מתוכנתות - תרגול 124 (c) אריק פרידמן 2007 אופני הפעולה של IPsec: Transport Mode Tunnel Mode

5 הגנה במערכות מתוכנתות - תרגול 125 (c) אריק פרידמן 2007 Transport Mode המטרה : לספק בטיחות מקצה לקצה כאשר x רוצה לשלוח חבילה ל-y:  מחשב x יפעיל IPsec על החבילה, ישלח אותה ל-y.  מחשב y יאמת ויפענח את החבילה.  החבילה מוגנת בפרט בתוך הרשתות A ו-B. Internet Network A Network B x y החבילה מאובטחת לאורך כל המסלול מ-x ל-y

6 הגנה במערכות מתוכנתות - תרגול 126 (c) אריק פרידמן 2007 מבנה החבילה ב-Transport Mode Application TCP/UDP IPsec IP: x  y MAC Application TCP/UDP IP MAC חבילה סטנדרטיתחבילה ב-Transport Mode

7 הגנה במערכות מתוכנתות - תרגול 127 (c) אריק פרידמן 2007 Tunnel Mode המטרה : לספק בטיחות מחוץ לרשת הפנימית מופעל ע"י security gateways ביציאה מהרשתות GWA ו-GWB מפעילים IPsec על החבילות: Internet Network A Network B x y החבילה מאובטחת בין GWA ל-GWB בלבד GWAGWB

8 הגנה במערכות מתוכנתות - תרגול 128 (c) אריק פרידמן 2007 מבנה החבילה ב-Tunnel Mode Application TCP/UDP IP: x  y MAC Application TCP/UDP IP: x  y IPsec IP: GWA  GWB MAC Application TCP/UDP IP: x  y MAC x y GWAGWB Network ANetwork BInternet GWA-GWB Tunnel

9 הגנה במערכות מתוכנתות - תרגול 129 (c) אריק פרידמן 2007 Tunnel Mode vs. Transport Mode יתרונות של Tunnel Mode על-פני Transport Mode:  מספיק להתקין IPsec רק על ה-Security Gateways. קל יותר לנהל מדיניות בטיחות ברשת. השימוש ב-IPsec שקוף למחשבים ברשת הפנימית.  במקרה של הצפנה, הכתובות הפנימיות ברשת מוסתרות. חסרון של Tunnel Mode לעומת Transport Mode:  אין הגנה על החבילות בתוך הרשתות.

10 הגנה במערכות מתוכנתות - תרגול 1210 (c) אריק פרידמן 2007 דוגמאות לשימוש ב-Tunnel Mode

11 הגנה במערכות מתוכנתות - תרגול 1211 (c) אריק פרידמן 2007 VPN – Virtual Private Network רשת וירטואלית מוגנת על-גבי רשת ציבורית

12 הגנה במערכות מתוכנתות - תרגול 1212 (c) אריק פרידמן 2007 מספר רמות אבטחה ברשת  למשל, מדיניות החברה: יש להצפין כל חבילה יוצאת מ-A ל-B. יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים. Tunnel in Tunnel Internet Network A Network B m z GWB GWM GWA Subnet M

13 הגנה במערכות מתוכנתות - תרגול 1213 (c) אריק פרידמן 2007 איך יראו החבילות במקרה זה? Application TCP/UDP IP: m  z MAC Application TCP/UDP IP: m  z IPsec IP: GWM  GWB IPsec IP: GWA  GWB MAC Application TCP/UDP IP: m  z MAC m z GWAGWB Subnet MNetwork B Internet GWM Network A A-B Tunnel M-B Tunnel Application TCP/UDP IP: m  z IPsec IP: GWM  GWB MAC

14 הגנה במערכות מתוכנתות - תרגול 1214 (c) אריק פרידמן 2007 Tunnel Mode מול מחשב שאינו מאחורי Gateway  לדוגמה, מנהל שרוצה להתחבר לרשת מהבית. המחשב שלו יצטרך לשמש כ-gateway של עצמו. דוגמאות לשימוש ב-Tunnel Mode Internet Network A m w GWM GWA Subnet M

15 הגנה במערכות מתוכנתות - תרגול 1215 (c) אריק פרידמן 2007 מבנה הנתונים SAD Security Association Database

16 הגנה במערכות מתוכנתות - תרגול 1216 (c) אריק פרידמן 2007 רשומות הכוללות מידע הנחוץ לצורך ההגנה על התקשורת תוך שימוש ב-IPsec כל רשומה נקראת SA (Security Association) לכל session יהיה זוג SA בכל מחשב:  אחד עבור חבילות נכנסות של ה-Session  אחד עבור חבילות יוצאות של ה-Session לכן ה-SAD יהיה מורכב משני חלקים:  Outgoing SAD (SA לחבילות יוצאות)  Incoming SAD (SA לחבילות נכנסות) SAD – Security Association DB

17 הגנה במערכות מתוכנתות - תרגול 1217 (c) אריק פרידמן 2007 כל רשומה מכילה:  אלגוריתמי הצפנה ו-MAC  מפתחות עבור האלגוריתמים  Sequence Number  Lifetime  SPI (Security Parameter Index) האינדקס של ה-SA הנוכחי אצל הצד השני מה כולל SA?

18 הגנה במערכות מתוכנתות - תרגול 1218 (c) אריק פרידמן 2007 ויותר בפירוט... SA DataUserSPI 1 … … …,SPI=13A24 …,SPI=20X25 SA DataUserSPI 1 … … …A22 …X25 SA DataUserSPI 1 … …,SPI=22B17 … …,SPI=5Y38 SA DataUserSPI 1 … …B13 … …Y44 User A’s SAD User B’s SAD Outgoing SAD Outgoing SAD Incoming SAD Incoming SAD

19 הגנה במערכות מתוכנתות - תרגול 1219 (c) אריק פרידמן 2007 תתי הפרוטוקולים של IPsec: ESP (Encapsulating Security Payload) AH (Authentication Header)

20 הגנה במערכות מתוכנתות - תרגול 1220 (c) אריק פרידמן 2007 מבצע הצפנה ו/או אימות של מידע. ESP (Encapsulating Security Payload) הגנה בפני Replay Attack לאיזה שכבה יש להעביר את החבילה

21 הגנה במערכות מתוכנתות - תרגול 1221 (c) אריק פרידמן 2007 בשליחת חבילה קודם מצפינים ורק אח"כ מחשבים אימות  בקבלת החבילה אם האימות נכשל חסכנו זמן פענוח שימוש בהצפנה יוצר בעיה ליישומים כמו PF Firewall שימוש ב-Tunnel Mode מאפשר להסתיר מבנה פנימי של רשת פרטית ESP מוסיף לא רק ESP Header אלא גם trailer  (Authentication data) הערות

22 הגנה במערכות מתוכנתות - תרגול 1222 (c) אריק פרידמן 2007 AH (Authentication Header) האימות מבוצע על:  כל השכבות שמעל ל-AH.  כל השדות של ה-AH Header פרט ל-Authenticaion Data שמאופס לצורך החישוב  ה-IP Header שמופיע מתחת ל-AH Header. חלק מהשדות מאופסים. ReservedPayload LengthNext Protocol SPI Sequence Number Authentication Data Application TCP/UDP IPsec IP: x  y MAC

23 הגנה במערכות מתוכנתות - תרגול 1223 (c) אריק פרידמן 2007 ESP vs. AH AH מבצע אימות על מידע רב יותר מאשר ESP. למרות זה, האימות שלו אינו טוב יותר!  כל התקפה שניתן לבצע על ESP, ניתן לבצע גם על AH. השימוש ב-AH עלול ליצור בעיה לפרוטוקולים אחרים  לדוגמה, פרוטוקול NAT.

24 הגנה במערכות מתוכנתות - תרגול 1224 (c) אריק פרידמן 2007 פרוטוקול NAT נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות IP.  בתוך הרשת A מוקצות כתובות IP מקומיות. לא בהכרח כתובות חוקיות  ביציאה מרשת הארגון, שרת ה-NAT מחליף כתובת מקומית ברשת שהוקצתה לרשת A (כנ"ל בכניסה לרשת) Internet Network A x y NAT

25 הגנה במערכות מתוכנתות - תרגול 1225 (c) אריק פרידמן 2007 פרוטוקול NAT - דוגמה Application TCP/UDP IP: IP A  IP y MAC Application TCP/UDP IP: IP x  IP y MAC y NAT Server Internet x Network A שינוי כתובת ה-IP ע"י שרת ה- NAT פוגע באימות של AH: y יזרוק את החבילה...

26 הגנה במערכות מתוכנתות - תרגול 1226 (c) אריק פרידמן 2007 SPD (Security Policy Database)

27 הגנה במערכות מתוכנתות - תרגול 1227 (c) אריק פרידמן 2007 SPD מגדיר את מדיניות ההגנה של המערכת.  יש SPD עבור תעבורה נכנסת, ו-SPD עבור תעבורה יוצאת. טבלת חוקים המוגדרת ע"י מנהל מערכת  דומה לטבלאות של Packet Filtering Firewall (בפרט אפשר להשתמש ב-SPD כ-Firewall כזה): 3 אפשרויות עבור שדה Action:  drop – חבילה נזרקת  forward – חבילה עוברת בצורה רגילה  secure – חבילה עוברת לאחר הפעלת IPsec SPD מגדיר גם את אופן הפעלת IPsec (AH/ESP, SPI, הפעלת IKE,...) ניתן להשתמש ב-WildCards. מה עושים אם SPD מחזיר secure עבור חבילה נכנסת ללא IPsec? Additional ParametersActionDestination Port Source Port Next Protocol Destination Address Source Address Rule

28 הגנה במערכות מתוכנתות - תרגול 1228 (c) אריק פרידמן 2007 התמונה הכללית – שליחת חבילה

29 הגנה במערכות מתוכנתות - תרגול 1229 (c) אריק פרידמן 2007 התמונה הכללית – קבלת חבילה למה צריך לבדוק את זה אם כבר פענחנו את החבילה?!?

30 הגנה במערכות מתוכנתות - תרגול 1230 (c) אריק פרידמן 2007 בדיקת SPI – למה? מניעת התחזות (IP Spoofing)  w מרשה ל-x ול-y לבצע telnet אליו אבל הם חייבים להוסיף אימות.  מונעים מ-x לבצע IP Spoofing על הכתובת של y. מניעת עקיפת מדיניות מערכת  ל-x מותר לבצע telnet ל-w רק עם אימות.  ל-x אסור לבצע http ל-w.  מונעים מ-x לשלוח http. http data TCP: dest. port 80 IPsec: SPI = SPI telnet IP: x  w MAC telnet data TCP IPsec: SPI = SPI x-w IP: y  w MAC xw xw

Download ppt "הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד."

Similar presentations

Computer Science CSC 474Dr. Peng Ning1 CSC 474 Information Systems Security Topic 4.2: IPsec.

Computer Science CSC 474Dr. Peng Ning1 CSC 474 Information Systems Security Topic 4.2: IPsec.
CS470, A.SelcukIPsec – AH & ESP1 CS 470 Introduction to Applied Cryptography Instructor: Ali Aydin Selcuk.

CS470, A.SelcukIPsec – AH & ESP1 CS 470 Introduction to Applied Cryptography Instructor: Ali Aydin Selcuk.
Internet Security CSCE 813 IPsec

Internet Security CSCE 813 IPsec
1 Formal Specifications for Complex Systems (236368) Tutorial #4 Refinement in Z: data refinement; operations refinement; their combinations.

1 Formal Specifications for Complex Systems (236368) Tutorial #4 Refinement in Z: data refinement; operations refinement; their combinations.
IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.

IPSec: Authentication Header, Encapsulating Security Payload Protocols CSCI 5931 Web Security Edward Murphy.
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.

IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.
Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:10.0.0.1  CEO2:11.0.0.1 Use both transport mode and tunnel mode IPSec.

Intro To Secure Comm. Exercise 7. Solution (review of last lesson) Assuming  CEO1:  CEO2: Use both transport mode and tunnel mode IPSec.
Network Security. Reasons to attack Steal information Modify information Deny service (DoS)

Network Security. Reasons to attack Steal information Modify information Deny service (DoS)
IP SECURITY – Chapter 16 IP SECURITY – Chapter 16 Security Mechanisms: email – S/MIME, PGP client/server - Kerberos web access - Secure Sockets Layer network.

IP SECURITY – Chapter 16 IP SECURITY – Chapter 16 Security Mechanisms: – S/MIME, PGP client/server - Kerberos web access - Secure Sockets Layer network.
ECE 454/CS 594 Computer and Network Security Dr. Jinyuan (Stella) Sun Dept. of Electrical Engineering and Computer Science University of Tennessee Fall.

ECE 454/CS 594 Computer and Network Security Dr. Jinyuan (Stella) Sun Dept. of Electrical Engineering and Computer Science University of Tennessee Fall.
1 Lecture 15: IPsec AH and ESP IPsec introduction: uses and modes IPsec concepts –security association –security policy database IPsec headers –authentication.

1 Lecture 15: IPsec AH and ESP IPsec introduction: uses and modes IPsec concepts –security association –security policy database IPsec headers –authentication.
IP Security. Overview In 1994, Internet Architecture Board (IAB) issued a report titled “Security in the Internet Architecture”. This report identified.

IP Security. Overview In 1994, Internet Architecture Board (IAB) issued a report titled “Security in the Internet Architecture”. This report identified.
IPsec: Internet Protocol Security Chong, Luon, Prins, Trotter.

IPsec: Internet Protocol Security Chong, Luon, Prins, Trotter.
הגנה במערכות מתוכנתות חורף תשסד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, 1995. Cheswick, Bellovin. Firewalls.

הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 7 Firewalls ספרות : Chapman, Zwicki. Building Internet Firewalls. O’Reilly, Cheswick, Bellovin. Firewalls.
הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות תרגול 13 – IKE הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP

תרגול 8.5 – מודל השכבות, מבוא ל-TCP/IP
הגנה במערכות מתוכנתות תרגול 1 – המחשב האישי הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

הגנה במערכות מתוכנתות תרגול 1 – המחשב האישי הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.
1 Formal Specifications for Complex Systems (236368) Tutorial #5 Refinement in Z: data refinement; operations refinement; their combinations.

1 Formal Specifications for Complex Systems (236368) Tutorial #5 Refinement in Z: data refinement; operations refinement; their combinations.
Intro To Secure Comm. Exercise 6. Problem A vendor wishes to incorporate the following:  Upon any login/change the vendor updates the cookie Cookie(SessionTime||{Item||Price})

Intro To Secure Comm. Exercise 6. Problem A vendor wishes to incorporate the following:  Upon any login/change the vendor updates the cookie Cookie(SessionTime||{Item||Price})
IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.

IP Security. n Have a range of application specific security mechanisms u eg. S/MIME, PGP, Kerberos, SSL/HTTPS n However there are security concerns that.

Similar presentations

Ads by Google