IPSEC Studente Michele Di Renzo Professore Stefano Bistarelli IPSEC • IP Security è uno standard per connessioni basate su reti sicure • Progettato per comunicazioni end-to-end(in generale VPN) • Garantisce Autenticazione del mittente Integrità dei dati Confidenzialità del contenuto (opzionale) REQUISITI COMUNICAZIONE • Creazione chiavi per l’autenticazione • Associazione di sicurezza • Policy ASSOCIAZIONE DI SICUREZZA • Gli indirizzi IP degli host coinvolti nella comunicazione • Il protocollo che verrà utilizzato (AH o ESP) • Le tecniche per la cifratura utilizzate • Un intero a 32 bit chiamato SPI (Security Parameter Index) INTERNET KEY EXCHANGE • IKE è un servizio/demone usato per creare dinamicamente SA e gestire il relativo database • Protocollo UDP e porta 500 per creare in 3 turni SA in entrambi gli end-point sia per il traffico in entrata sia per quello in uscita • Protocollo a 2 fasi: Si stabilisce la sicurezza del canale fra i due peer Vengono applicate le SA create per la comunicazione CREAZIONE ASSOCIAZIONE DI SICUREZZA A Header,SA B Header,sa A Header,KEY,Na,[Cert_Req] B Header,KEY,Nb,[Cert] A Header,ID_A,[Cert],firma B Header,ID_B,[Cert],firma A SECURITY POLICY • Indirizzo sorgente e indirizzo destinazione del pacchetto • Il protocollo e la relativa porta da instradare • Un identificativo della SA da utilizzare per proteggere i dati GESTIONE COMUNICAZIONE SPD SPD INTERNET VPN R1 R2 192.168.1.10 A 192.168.1.11 B SADB SADB GESTIONE ASSOCIAZIONE DI SICUREZZA • Creazione dinamica chiavi tramite IKE • Creazione associazioni di sicurezza, una per il traffico in entrata e uno in uscita • Pacchetto in uscita: se la SA manca ne viene creata una • Pacchetto in uscita: la policy deve permettere l’inoltro del pacchetto • Pacchetto in entrata: se la SA manca viene scartato il pachetto • Pacchetto in entrata: la policy deve permettere l’inoltro del pacchetto • Una volta reperite le SA e le policy vengono portate in cache per processare pacchetti successivi ANTIREPLAY SERVICE • Previene il Denial of Service • Corrispondenza fra i bit della finestra e i numeri di sequenza dei pacchetti I pacchetti all’interno della finestra nuovi vengono accettati I pacchetti a sinistra della finestra o al centro ma già scartati vengono rifiutati I pacchetti a destar della finestra ne causano lo scorrimento MODALITA’ TRASPORTO • Connessione host-to-host • Usato solamente dagli end-point • Viene cifrato solo il payload del datagramma IP • Computazionalmente leggero • Software necessario per implementare IPSEC • Si aggiunge solo l’header IPSEC MODALITA’ TRASPORTO NET ROUTER SWITCH S1 SWITCH S2 A B MODALITA’ TUNNEL • Connessione gateway-to-gateway • Viene cifrato tutto il pacchetto IP originale • Utilizzato per realizzare VPN • Computazionalmente oneroso • Il software IPSEC necessario solo per i gateway • Header del gateway e header IPSEC presenti MODALITA’ TUNNEL INTERNET VPN R1 192.168.1.10 A R2 192.168.1.11 B AUTHENTICATION HEADER Modalità trasporto Header IP Header ah Header TCP DATI DATI AUTENTICATI Modalità tunnel Header IP Header AH Header IP esterno DATI AUTENTICATI Header TCP DATI FORMATO HEADER 0 1 Header successivo Dimensione payload 2 3 RISERVATO Security Parameter Index (SPI) Numero di successione Dati per l’autenticazione (lunghezza variabile) ENCAPSULATING SECURITY PAYLOAD Header IP Header ESP Header TCP DATI Trailer ESP ESP Auth DATI AUTENTICATI DATI CRIPTATI Header Header Header Header IP IP ESP TCP interno DATI DATI AUTENTICATI DATI CRIPTATI Trailer ESP ESP Auth FORMATO TRAILER ESP 0 1 2 3 Dati protetti Padding Lunghezza PAD Prossimo Header Dati per l’autenticazione (lunghezza variabile) GRAZIE PER L’ATTENZIONE