IPSec Fabrizio Grossi Cos’è IPSec? IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire la sicurezza dei dati durante le trasmissioni in rete • Benefici di IPSec • Mutua Autenticazione prima e durante le comunicazioni • Confidenzialità tramite la criptazione del traffico IP • Integrità del traffico IP: viene rifiutato il traffico modificato Protocolli IPSec Authentication Headers Data authenticity Data integrity Anti-spoofing protection Signed IP TCP/UDP AH Header Header Application Data Encapsulating Security Payloads Source authentication Data encryption Anti-spoofing protection Encrypted New IP ESP Header Hdr Original TCP/UDP Application ESP ESP IP Header Data Trailer Auth Header Signed Come IPSec protegge il traffico Active Directory 1 IPSec Policy IPSec Policy Security Association Negotiation (ISAKMP) 2 TCP Layer TCP Layer IPSec Driver IPSec Driver 3 Encrypted IP Packets What is an IPSec Security Policy? • IPSec usa regole e policy per proteggere il traffico di rete • Le Regole sono composte di: • Filter • Filter action • Un metodo di autenticazione • Le Policy di Default includono: • Client (Respond Only) • Server (Request Security) • Secure Server (Require Security) How IPSec Policies Work Together No policy assigned Client (Respond Only) Server (Request Security) Secure Server (Require Security) No policy assigned No IPSec No IPSec No IPSec No communication Client (Respond Only) No IPSec No IPSec IPSec IPSec Server (Request Security) No IPSec IPSec IPSec IPSec Secure server (Require Security) No communicatio IPSec n IPSec IPSec Scenari IPSec • Filtraggio di pacchetti consenti/blocca di base • Comunicazioni LAN interne protette • Replica di domini attraverso firewall • VPN attraverso supporti non attendibili Implementazione dei filtri di pacchetti IPSec • Filtri per traffico consentito e bloccato • Nessuna effettiva negoziazione delle associazioni di protezione IPSec • Filtri sovrapposti—la corrispondenza migliore determina l'azione • Non fornisce il filtraggio basato sullo stato • È necessario impostare "NoDefaultExempt = 1" per la protezione Da IP Verso IP Protocollo Porta origine Porta destinazione Azione Qualsiasi IP internet Qualsiasi N/D N/D Blocca Qualsiasi IP internet TCP Qualsiasi 80 Consenti Limiti dei filtri pacchetti per la protezione dei server • I pacchetti IP con query o contenuto dannoso possono ancora raggiungere le porte aperte attraverso i firewall • IPSec non fornisce il filtraggio basato sullo stato • Molti strumenti utilizzati dagli hacker sfruttano le porte di origine 80, 88, 135 e così via per connettersi a qualsiasi porta di destinazione Protezione delle comunicazioni interne • Utilizzare IPSec per fornire l'autenticazione reciproca dei dispositivi • • • Utilizzare AH (Authentication Header) per proteggere l'integrità dei pacchetti • • • AH offre l'integrità dei pacchetti AH non crittografa i dati, quindi consente i rilevamenti di intrusioni sulla rete Utilizzare ESP (Encapsulation Security Payload) per crittografare il traffico riservato • • • Utilizzare certificati o Kerberos La chiave già condivisa è adatta solo per i test ESP offre integrità e riservatezza dei pacchetti La crittografia impedisce l'ispezione dei pacchetti Pianificare con attenzione il traffico da proteggere Traffico non filtrato da IPSec • Indirizzi IP broadcast • Impossibile proteggere per più destinatari • Indirizzi multicast • Da 224.0.0.0 a 239.255.255.255 • Kerberos—Porta di origine o destinazione UDP 88 • Kerberos è un protocollo sicuro che può essere utilizzato dal servizio di negoziazione IKE (Internet Key Exchange) per l'autenticazione di altri computer in un dominio • IKE—Porta di destinazione UDP 500 • Necessaria per consentire a IKe di negoziare i parametri per la protezione IPSec • In Windows Server 2003 viene configurata solo l'esenzione predefinita di IKE IPSec per la replica di domini • Utilizzare IPSec per la replica attraverso i firewall • Su ogni controller di dominio creare un criterio IPSec per proteggere tutto il traffico verso l'indirizzo IP dell'altro controller di dominio • Utilizzare ESP 3DES per la crittografia • Consentire il traffico attraverso il firewall: • Porta UDP 500 (IKE) • Protocollo IP 50 (ESP) VPN attraverso supporti non attendibili • VPN client • Utilizzare L2TP/IPSec • VPN di filiale • Tra Windows 2000 o Windows Server, con RRAS: Utilizzare il tunnel L2TP/IPSec (facile da configurare, appare come un'interfaccia di routing) • Verso i gateway di terze parti: Utilizzare L2TP/ISec o la modalità tunnel IPSec puro • Verso il gateway Microsoft Windows NT® 4 RRAS: Utilizzare PPTP (IPSec non disponibile) Prestazioni di IPSec • L'elaborazione di IPSec ha un impatto sulle prestazioni • Tempo di negoziazione di IKE, circa 2-5 secondi inizialmente • 5 cicli • Autenticazione—Kerberos o certificati • Generazione di chiavi crittografiche e messaggi crittografati • Ogni 8 ore per impostazione predefinita, configurabile • Reimpostazione veloce delle chiavi di sessione—<1–2 sec., 2 cicli, uno all'ora, configurabile • Crittografia dei pacchetti • Come migliorare? • Offload sulle NIC per l'elaborazione IPSec alla massima velocità • Utilizzo di CPU più veloci Procedure ottimali • • • • • Pianificare con attenzione l'implementazione di IPSec Scegliere tra AH e ESP Utilizzare Criteri di gruppo per configurare i criteri IPSec Considerare l'impiego di NIC IPSec Non utilizzare mai l'autenticazione con chiave condivisa all'esterno del laboratorio di test • Scegliere tra certificati e autenticazione Kerberos • Utilizzare IPSec con prudenza per le comunicazioni con i controller di dominio e altri server dell'infrastruttura Fine