IPSec
Fabrizio Grossi
Cos’è IPSec?
IPSec è un insieme di standard che verificano, autenticano, e
criptano i dati al livello IP. IPSec è usato per garantire la
sicurezza dei dati durante le trasmissioni in rete
• Benefici di IPSec
• Mutua Autenticazione prima e durante le comunicazioni
• Confidenzialità tramite la criptazione del traffico IP
• Integrità del traffico IP: viene rifiutato il traffico modificato
Protocolli IPSec
Authentication Headers

Data authenticity

Data integrity

Anti-spoofing
protection
Signed
IP
TCP/UDP
AH
Header
Header
Application
Data
Encapsulating Security Payloads

Source authentication

Data encryption

Anti-spoofing
protection
Encrypted
New IP ESP
Header Hdr
Original
TCP/UDP Application ESP ESP
IP
Header
Data
Trailer Auth
Header
Signed
Come IPSec protegge il traffico
Active Directory
1
IPSec Policy
IPSec Policy
Security Association
Negotiation (ISAKMP)
2
TCP Layer
TCP Layer
IPSec Driver
IPSec Driver
3
Encrypted IP Packets
What is an IPSec Security Policy?
• IPSec usa regole e policy per proteggere il
traffico di rete
• Le Regole sono composte di:
• Filter
• Filter action
• Un metodo di autenticazione
• Le Policy di Default includono:
• Client (Respond Only)
• Server (Request Security)
• Secure Server (Require Security)
How IPSec Policies Work Together
No policy
assigned
Client
(Respond
Only)
Server
(Request
Security)
Secure Server
(Require Security)
No policy
assigned
No IPSec
No IPSec
No IPSec
No
communication
Client
(Respond
Only)
No IPSec
No IPSec
IPSec
IPSec
Server
(Request
Security)
No IPSec
IPSec
IPSec
IPSec
Secure
server
(Require
Security)
No
communicatio IPSec
n
IPSec
IPSec
Scenari IPSec
•
Filtraggio di pacchetti
consenti/blocca di
base
•
Comunicazioni LAN
interne protette
•
Replica di domini
attraverso firewall
•
VPN attraverso
supporti non attendibili
Implementazione dei filtri di
pacchetti IPSec
•
Filtri per traffico consentito e bloccato
•
Nessuna effettiva negoziazione delle associazioni di
protezione IPSec
•
Filtri sovrapposti—la corrispondenza migliore determina
l'azione
•
Non fornisce il filtraggio basato sullo stato
•
È necessario impostare "NoDefaultExempt = 1" per la
protezione
Da IP
Verso IP
Protocollo
Porta
origine
Porta
destinazione
Azione
Qualsiasi
IP internet
Qualsiasi
N/D
N/D
Blocca
Qualsiasi
IP internet
TCP
Qualsiasi
80
Consenti
Limiti dei filtri pacchetti per la protezione
dei server
• I pacchetti IP con query o contenuto dannoso
possono ancora raggiungere le porte aperte
attraverso i firewall
• IPSec non fornisce il filtraggio basato sullo stato
• Molti strumenti utilizzati dagli hacker sfruttano le
porte di origine 80, 88, 135 e così via per connettersi
a qualsiasi porta di destinazione
Protezione delle comunicazioni
interne
•
Utilizzare IPSec per fornire l'autenticazione reciproca
dei dispositivi
•
•
•
Utilizzare AH (Authentication Header) per proteggere l'integrità dei
pacchetti
•
•
•
AH offre l'integrità dei pacchetti
AH non crittografa i dati, quindi consente i rilevamenti di intrusioni sulla rete
Utilizzare ESP (Encapsulation Security Payload)
per crittografare il traffico riservato
•
•
•
Utilizzare certificati o Kerberos
La chiave già condivisa è adatta solo per i test
ESP offre integrità e riservatezza dei pacchetti
La crittografia impedisce l'ispezione dei pacchetti
Pianificare con attenzione il traffico da proteggere
Traffico non filtrato da IPSec
• Indirizzi IP broadcast
•
Impossibile proteggere per più destinatari
• Indirizzi multicast
•
Da 224.0.0.0 a 239.255.255.255
• Kerberos—Porta di origine o destinazione UDP 88
•
Kerberos è un protocollo sicuro che può essere utilizzato dal
servizio di negoziazione IKE (Internet Key Exchange) per
l'autenticazione di altri computer in un dominio
• IKE—Porta di destinazione UDP 500
•
Necessaria per consentire a IKe di negoziare i parametri per la
protezione IPSec
• In Windows Server 2003 viene configurata solo
l'esenzione predefinita di IKE
IPSec per la replica di domini
• Utilizzare IPSec per la replica attraverso i firewall
• Su ogni controller di dominio creare un criterio IPSec per
proteggere tutto il traffico verso l'indirizzo IP dell'altro
controller di dominio
• Utilizzare ESP 3DES per la crittografia
• Consentire il traffico attraverso il firewall:
• Porta UDP 500 (IKE)
• Protocollo IP 50 (ESP)
VPN attraverso supporti non
attendibili
• VPN client
• Utilizzare L2TP/IPSec
• VPN di filiale
• Tra Windows 2000 o Windows Server, con RRAS:
Utilizzare il tunnel L2TP/IPSec (facile da configurare,
appare come un'interfaccia di routing)
• Verso i gateway di terze parti: Utilizzare L2TP/ISec o la
modalità tunnel IPSec puro
• Verso il gateway Microsoft Windows NT® 4 RRAS:
Utilizzare PPTP (IPSec non disponibile)
Prestazioni di IPSec
• L'elaborazione di IPSec ha un impatto sulle prestazioni
• Tempo di negoziazione di IKE, circa 2-5 secondi inizialmente
•
5 cicli
•
Autenticazione—Kerberos o certificati
•
Generazione di chiavi crittografiche e messaggi crittografati
•
Ogni 8 ore per impostazione predefinita, configurabile
• Reimpostazione veloce delle chiavi di sessione—<1–2 sec., 2
cicli, uno all'ora, configurabile
• Crittografia dei pacchetti
• Come migliorare?
• Offload sulle NIC per l'elaborazione IPSec alla massima velocità
• Utilizzo di CPU più veloci
Procedure ottimali
•
•
•
•
•
Pianificare con attenzione l'implementazione di IPSec
Scegliere tra AH e ESP
Utilizzare Criteri di gruppo per configurare i criteri IPSec
Considerare l'impiego di NIC IPSec
Non utilizzare mai l'autenticazione con chiave condivisa
all'esterno del laboratorio di test
• Scegliere tra certificati e autenticazione Kerberos
• Utilizzare IPSec con prudenza per le comunicazioni con i
controller di dominio e altri server dell'infrastruttura
Fine