IPSEC
Studente
Michele Di Renzo
Professore
Stefano Bistarelli
IPSEC
• IP Security è uno standard per connessioni basate su reti sicure
• Progettato per comunicazioni end-to-end(in generale VPN)
• Garantisce
Autenticazione del mittente
Integrità dei dati
Confidenzialità del contenuto (opzionale)
REQUISITI COMUNICAZIONE
• Creazione chiavi per l’autenticazione
• Associazione di sicurezza
• Policy
ASSOCIAZIONE DI SICUREZZA
• Gli indirizzi IP degli host coinvolti nella comunicazione
• Il protocollo che verrà utilizzato (AH o ESP)
• Le tecniche per la cifratura utilizzate
• Un intero a 32 bit chiamato SPI (Security Parameter Index)
INTERNET KEY EXCHANGE
• IKE è un servizio/demone usato per creare dinamicamente SA e
gestire il relativo database
• Protocollo UDP e porta 500 per creare in 3 turni SA in entrambi gli
end-point sia per il traffico in entrata sia per quello in uscita
• Protocollo a 2 fasi:
 Si stabilisce la sicurezza del canale fra i due peer
 Vengono applicate le SA create per la comunicazione
CREAZIONE ASSOCIAZIONE DI SICUREZZA
A
Header,SA
B
Header,sa
A
Header,KEY,Na,[Cert_Req]
B
Header,KEY,Nb,[Cert]
A
Header,ID_A,[Cert],firma
B
Header,ID_B,[Cert],firma
A
SECURITY POLICY
• Indirizzo sorgente e indirizzo destinazione del pacchetto
• Il protocollo e la relativa porta da instradare
• Un identificativo della SA da utilizzare per proteggere i dati
GESTIONE COMUNICAZIONE
SPD
SPD
INTERNET
VPN
R1
R2
192.168.1.10
A
192.168.1.11
B
SADB
SADB
GESTIONE ASSOCIAZIONE DI SICUREZZA
• Creazione dinamica chiavi tramite IKE
• Creazione associazioni di sicurezza, una per il traffico in entrata
e uno in uscita
• Pacchetto in uscita: se la SA manca ne viene creata una
• Pacchetto in uscita: la policy deve permettere l’inoltro del
pacchetto
• Pacchetto in entrata: se la SA manca viene scartato il pachetto
• Pacchetto in entrata: la policy deve permettere l’inoltro del
pacchetto
• Una volta reperite le SA e le policy vengono portate in cache
per processare pacchetti successivi
ANTIREPLAY SERVICE
• Previene il Denial of Service
• Corrispondenza fra i bit della finestra e i numeri di sequenza
dei pacchetti
 I pacchetti all’interno della finestra nuovi vengono accettati
 I pacchetti a sinistra della finestra o al centro ma già scartati vengono
rifiutati
 I pacchetti a destar della finestra ne causano lo scorrimento
MODALITA’ TRASPORTO
• Connessione host-to-host
• Usato solamente dagli end-point
• Viene cifrato solo il payload del datagramma IP
• Computazionalmente leggero
• Software necessario per implementare IPSEC
• Si aggiunge solo l’header IPSEC
MODALITA’ TRASPORTO
NET
ROUTER
SWITCH S1
SWITCH S2
A
B
MODALITA’ TUNNEL
•
Connessione gateway-to-gateway
•
Viene cifrato tutto il pacchetto IP originale
•
Utilizzato per realizzare VPN
•
Computazionalmente oneroso
•
Il software IPSEC necessario solo per i gateway
•
Header del gateway e header IPSEC presenti
MODALITA’ TUNNEL
INTERNET
VPN
R1
192.168.1.10
A
R2
192.168.1.11
B
AUTHENTICATION HEADER
Modalità trasporto
Header IP
Header ah
Header TCP
DATI
DATI AUTENTICATI
Modalità tunnel
Header IP
Header AH Header IP
esterno
DATI AUTENTICATI
Header
TCP
DATI
FORMATO HEADER
0
1
Header successivo
Dimensione payload
2
3
RISERVATO
Security Parameter Index (SPI)
Numero di successione
Dati per l’autenticazione (lunghezza variabile)
ENCAPSULATING SECURITY PAYLOAD
Header
IP
Header
ESP
Header
TCP
DATI
Trailer
ESP
ESP
Auth
DATI AUTENTICATI
DATI CRIPTATI
Header
Header Header
Header
IP
IP
ESP
TCP
interno
DATI
DATI AUTENTICATI
DATI CRIPTATI
Trailer
ESP
ESP
Auth
FORMATO TRAILER ESP
0
1
2
3
Dati protetti
Padding
Lunghezza PAD
Prossimo
Header
Dati per l’autenticazione (lunghezza variabile)
GRAZIE
PER
L’ATTENZIONE