La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IPSec Fabrizio Grossi. Cos’è IPSec? IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire.

Presentazioni simili


Presentazione sul tema: "IPSec Fabrizio Grossi. Cos’è IPSec? IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire."— Transcript della presentazione:

1 IPSec Fabrizio Grossi

2 Cos’è IPSec? IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire la sicurezza dei dati durante le trasmissioni in rete Benefici di IPSec Mutua Autenticazione prima e durante le comunicazioni Confidenzialità tramite la criptazione del traffico IP Integrità del traffico IP: viene rifiutato il traffico modificato

3 Protocolli IPSec  Data authenticity  Data integrity  Anti-spoofing protection IP Header AH TCP/UDP Header TCP/UDP Header Application Data Signed Authentication Headers New IP Header ESP Hdr Encrypted Signed  Source authentication  Data encryption  Anti-spoofing protection Encapsulating Security Payloads Original IP Header TCP/UDP Header TCP/UDP Header Application Data ESP Trailer ESP Auth

4 Come IPSec protegge il traffico TCP Layer IPSec Driver TCP Layer IPSec Driver Encrypted IP Packets 3 3 Security Association Negotiation (ISAKMP) 2 2 IPSec Policy 1 1 Active Directory

5 What is an IPSec Security Policy? IPSec usa regole e policy per proteggere il traffico di rete Le Regole sono composte di: Filter Filter action Un metodo di autenticazione Le Policy di Default includono: Client (Respond Only) Server (Request Security) Secure Server (Require Security)

6 How IPSec Policies Work Together No policy assigned Client (Respond Only) Server (Request Security) Secure Server (Require Security) No policy assigned No IPSec No communication Client (Respond Only) No IPSec IPSec Server (Request Security) No IPSecIPSec Secure server (Require Security) No communicatio n IPSec

7 Filtraggio di pacchetti consenti/blocca di base Comunicazioni LAN interne protette Replica di domini attraverso firewall VPN attraverso supporti non attendibili Scenari IPSec

8 Filtri per traffico consentito e bloccato Nessuna effettiva negoziazione delle associazioni di protezione IPSec Filtri sovrapposti—la corrispondenza migliore determina l'azione Non fornisce il filtraggio basato sullo stato È necessario impostare "NoDefaultExempt = 1" per la protezione Da IPVerso IPProtocollo Porta origine Porta destinazione Azione QualsiasiIP internetQualsiasiN/D Blocca QualsiasiIP internetTCPQualsiasi80Consenti Implementazione dei filtri di pacchetti IPSec

9 I pacchetti IP con query o contenuto dannoso possono ancora raggiungere le porte aperte attraverso i firewall IPSec non fornisce il filtraggio basato sullo stato Molti strumenti utilizzati dagli hacker sfruttano le porte di origine 80, 88, 135 e così via per connettersi a qualsiasi porta di destinazione Limiti dei filtri pacchetti per la protezione dei server

10 Protezione delle comunicazioni interne Utilizzare IPSec per fornire l'autenticazione reciproca dei dispositivi Utilizzare certificati o Kerberos La chiave già condivisa è adatta solo per i test Utilizzare AH (Authentication Header) per proteggere l'integrità dei pacchetti AH offre l'integrità dei pacchetti AH non crittografa i dati, quindi consente i rilevamenti di intrusioni sulla rete Utilizzare ESP (Encapsulation Security Payload) per crittografare il traffico riservato ESP offre integrità e riservatezza dei pacchetti La crittografia impedisce l'ispezione dei pacchetti Pianificare con attenzione il traffico da proteggere

11 Indirizzi IP broadcast Impossibile proteggere per più destinatari Indirizzi multicast Da a Kerberos—Porta di origine o destinazione UDP 88 Kerberos è un protocollo sicuro che può essere utilizzato dal servizio di negoziazione IKE (Internet Key Exchange) per l'autenticazione di altri computer in un dominio IKE—Porta di destinazione UDP 500 Necessaria per consentire a IKe di negoziare i parametri per la protezione IPSec In Windows Server 2003 viene configurata solo l'esenzione predefinita di IKE Traffico non filtrato da IPSec

12 IPSec per la replica di domini Utilizzare IPSec per la replica attraverso i firewall Su ogni controller di dominio creare un criterio IPSec per proteggere tutto il traffico verso l'indirizzo IP dell'altro controller di dominio Utilizzare ESP 3DES per la crittografia Consentire il traffico attraverso il firewall: Porta UDP 500 (IKE) Protocollo IP 50 (ESP)

13 VPN attraverso supporti non attendibili VPN client Utilizzare L2TP/IPSec VPN di filiale Tra Windows 2000 o Windows Server, con RRAS: Utilizzare il tunnel L2TP/IPSec (facile da configurare, appare come un'interfaccia di routing) Verso i gateway di terze parti: Utilizzare L2TP/ISec o la modalità tunnel IPSec puro Verso il gateway Microsoft Windows NT® 4 RRAS: Utilizzare PPTP (IPSec non disponibile)

14 Prestazioni di IPSec L'elaborazione di IPSec ha un impatto sulle prestazioni Tempo di negoziazione di IKE, circa 2-5 secondi inizialmente 5 cicli Autenticazione—Kerberos o certificati Generazione di chiavi crittografiche e messaggi crittografati Ogni 8 ore per impostazione predefinita, configurabile Reimpostazione veloce delle chiavi di sessione—<1–2 sec., 2 cicli, uno all'ora, configurabile Crittografia dei pacchetti Come migliorare? Offload sulle NIC per l'elaborazione IPSec alla massima velocità Utilizzo di CPU più veloci

15 Procedure ottimali Pianificare con attenzione l'implementazione di IPSec Scegliere tra AH e ESP Utilizzare Criteri di gruppo per configurare i criteri IPSec Considerare l'impiego di NIC IPSec Non utilizzare mai l'autenticazione con chiave condivisa all'esterno del laboratorio di test Scegliere tra certificati e autenticazione Kerberos Utilizzare IPSec con prudenza per le comunicazioni con i controller di dominio e altri server dell'infrastruttura

16 Fine


Scaricare ppt "IPSec Fabrizio Grossi. Cos’è IPSec? IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire."

Presentazioni simili


Annunci Google