La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IPSec il guardiano del traffico di rete?. Di cosa parleremo? Per molto tempo defense-in-depth ha significato livelli diversi di protezione Lidea è quella.

Presentazioni simili


Presentazione sul tema: "IPSec il guardiano del traffico di rete?. Di cosa parleremo? Per molto tempo defense-in-depth ha significato livelli diversi di protezione Lidea è quella."— Transcript della presentazione:

1 IPSec il guardiano del traffico di rete?

2 Di cosa parleremo? Per molto tempo defense-in-depth ha significato livelli diversi di protezione Lidea è quella di un castello medievale… Lhost stesso adesso deve contribuire alla sua difesa Si raggiunge maggiore granularità nella sicurezza Aumenta la fiducia: anche le macchine sono note Problemi comuni risolti Spoofing Privacy IPSec

3 I modi di IPSec Non esiste nulla che si chiami IPsec tunnel! Tipi Transport mode Tunnel mode Metodi AH (authenticated header) ESP (encapsulated security payload)

4 IPsec authentication header (AH) Transport mode Orig IP HdrTCP HdrData TCP HdrData Orig IP Hdr Integrità garantita dall'hash AH = IP protocollo 51 – 24 bytes in totale AH Hdr Insert Next HdrPayload LenRsrvSecParamIndexSeq#Keyed Hash

5 IPsec encapsulating security payload (ESP) Transport mode Data Normalmente criptato Integrità garantita dellhash ESP TrailerESP Auth Append Orig IP HdrTCP HdrData ESP Hdr Insert Orig IP Hdr TCP Hdr ESP = IP protocollo bytes in totale

6 IPsec encapsulating security payload (ESP) Transport mode Data Normalmente criptato Integrità garantita dallhash PaddingPadLengthNextHdr Keyed Hash ESP = IP protocollo bytes in totale ESP TrailerESP Auth Append Orig IP HdrTCP HdrData ESP Hdr Insert Orig IP Hdr TCP Hdr Seq#InitVectorSecParamIndex

7 IPsec ESP Tunnel mode ESP Trailer Data TCP Hdr IP Hdr Nuovo header IP con indirizzi IP sorgente e destinazione Orig IP HdrTCP HdrData ESP Hdr ESP Auth Normalmente criptato Integrità garantita dallhash

8 filtri Generazione della Security Association Internet Key Exchange (IKE) Identity Protect Mode (RFC 2409) Fase 1 Main Mode stabilisce la IKE SA canale fidato tra i sistemi, la negoziazione stabilisce il canale criptato, la mutua fiducia e dinamicamente genera le chiave condivisa (master key) Fase 2 Quick Mode stabilisce le IPsec SA per la protezione dei dati, una SA per ogni direzione identificata da unetichetta per pacchetto (SPI), accordo su algoritmo e formato dei pacchetti, generate le chiavi di sessione derivate dalla master key NIC TCPIP Applicazione server o gateway IPsec driver IPSec policy agent IKE (ISAKMP) IPsec driver IPSec policy agent IKE (ISAKMP) NIC TCPIP Applicazione o servizio client IKE responder IKE initiator UDP:500 negoziazione 1 IKE SA 2 IPsec SA IP protocollo 50/51 filtri

9 Negoziazione della protezione Necessari due messaggi Da initiator a responder: contiene la proposta Da responder a initiator: contiene la proposta selezionata Suite di protezione: Algoritmi di criptaturaDES, 3DES, Null Algoritmi di integritàMD5, SHA-1, Null Metodi di autenticazione Kerberos, preshared key, certificate Gruppi Diffie-HellmanGroup 1 (768-bit), Group 2 (1024- bit), Group 2048 (Windows 2003)

10 Componenti di IPsec policy Intervallo di polling usato per determinare modifiche nelle policy Parametri IKE, come durata delle chiavi di criptatura. Comportamento di IPsec per le policy Tipo di traffico a cui si applica unazione Consenti, blocca o metti in sicurezza Kerberos, certificati o chiavi condivise LAN, dialup o entrambi

11 Stack TCP/IP Kernel mode – WinXP/2k/2K3 IP Packet Filter driver (ipfltdrv.sys) IP Filter Hook (DDK) TCPRawICMPUDP WinSock Winsock Layered Service Providers (SDK) IPsec Filters, Encryption (ipsec.sys, fips.sys) IP Frag/Reassembly PPTP L2TP LAN/WAN miniports VPN=PPP virtual WAN interfaces NDIS 5.0 ICS-NAT/ICF (ipnat.sys) TCP/UDP/IP Connection UI Filters IP Stack Netmon driver (NMnt.sys) TDI API (DDK)/AFD.SYS RRAS Input/Output Interface Filters (SDK) Miniport per offload (DDK): TCP checksum, IPsec, Invio di TCP grandi NAT apis (SDK)

12 Traffico non filtrato da IPsec Traffico broadcast Non è possibile mettere in sicurezza riceventi multipli Traffico multicast Da fino a RSVP Protocollo IP tipo 46 Consente a RSVP di segnalare la qualità del servizio (QOS) richiesta per il traffico di applicazioni che possono anche essere protette da requests IPsec Kerberos UDP:88 (sorgente o destinazione) Kerberos è di per se un protocollo sicuro che il servizio di negoziazione IKE può usare per autenticare altri computer nel dominio IKE UDP:500 (destinazione) Richiesto per consentire ad IKE di negoziare i parametri di sicurezza di IPSec

13 NoDefaultExemptions Documentata in Q Può indicare se filtrare Kerberos e/o RSVP con IPsec Quando sotto filtro, IPsec può bloccare o mettere in sicurezza questi protocolli Se Kerberos è messo in sicurezza da IPsec… IKE non può usare Kerberos per lautenticazione Si devono usare certificates (bene) o chiavi condivise (male)

14 NoDefaultExemptions Windows Server 2003 ha rimosso tutte le default exemptions eccetto IKE Ci sono modifiche di funzionamento nei service pack per Windows 2000 e Windows XP Windows 2000 SP4 e Windows XP SP2 hanno rimosso Kerberos e RSVP Usare il valore 0 per la chiave di registry per ripristinare le esenzioni di default

15 Confronto tra le esenzioni ValoreKerberosRSVPB/McastDefault 0XXX Windows 2000 SP3 Windows XP SP1 1no X Windows 2000 SP4 Windows XP SP2 2XXno 3 Windows 2003 X = Traffico esentato dal filtro IKE (500/udp) è sempre esentato I valori 2 e 3 sono supportati solo su Windows Server 2003 only

16 Come applicare IPsec Lamministratore disegna un insieme di configurazioni Chiamate nellinsieme IPsec policy Si deve conoscere il traffico IP richiesto dalle applicazioni e dai sistemi Simile a ACL di firewall o router Per la configurazione di può usare lo smap in per MMC IPsec policy management

17 Come applicare IPsec Usare Local Security Policy per creare policy statiche salvate nel registry Usare le group policy di Active Directory per una gestione centralizzata Usare IPSECPOL.EXE (Windows 2000) o IPSECCMD.EXE (Windows XP) per creare policy statiche e dinamiche da linea di comando

18 Netsh IPSEC Presente in in Windows Server 2003 Sostituisce IPSECPOL e IPSECCMD Consente laccesso a funzioni non presenti nella UI Traffico esentato per default Controllo della CRL (nessuna/standard/forte) Abilitazione dinamica del log di IKE Abilitazione dinamica del log del driver IPsec Sicurezza persistente (allavvio del computer) Traffico esentato dallavvio del computer

19 Sicurezza del computer dallavvio Policy persistenti Fornisce policy persistenti e attive dal boot netsh ipsec dynamic set config property=bootmode value=… stateful : outbound, inbound, DHCP block : nulla fino allapplicazione della policy permit : tutto consentito Il default e stateful dopo lassegnazione di una policy property=bootexemptions value=ex1 ex2… protocol= src|destport= direction=

20 Integrità garantita da hash (eccetto campi variabili IP hdr) Problemi NAT + IPsec NAT Orig IP HdrTCP HdrData Next HdrPayload LenRsrvSecParamIndexKeyed HashSeq# 24 byte totale AH = IP protocollo 51 Insert AH Hdr Data TCP Hdr Orig IP Hdr NAT1 Hdr NAT header modification breaks AH Integrity Hash NAT2 Hdr NAT1 Hdr NAT2 Hdr Problema 1 Violazione AH

21 Policy: CA1 CA3 Policy: Use CA CA1 CA Cert1 CA Cert2 KE, Nonce Problemi NAT + IPsec KE, CRPs, Nonce Trusted Root machine cert Personal machine cert Personal CA Cert1 CA Cert3 Trusted Root ID, Cert, Sig, CRPs CA1 SA, VendorID Request security SA, VendorID OK to secure NAT Il payload dei certificati eccede la frame IP IKE genera frammenti IP NAT (o lo switch) scarta i frammenti Il drop dei frammenti blocca IKE Problema 2 Frammenti IKE

22 Problemi NAT + IPsec NAT Mappa NAT semi statica IPSec ad A IKE set-up PC A IKE set-up PC B Percorso di ritorno al PC A Problema con NAT Helper : Pensato solo per tunnel mode ma agisce anche sul transport mode Blocca le sessioni IPSec multiple Il primo iniziator prende tutti gli IPSec A B Problema 3 IPsec tunnel mode helper

23 Modello di soluzione Riconoscere la presenza di NAT Escludere IPSec dal dialogo per le porte mappabilida IPSec Incapsulare IPsec in UDP con una gestione brillante dellassegnazione dinamica delle porte Prevenire i frammenti IP (Microsoft)

24 Orig IP Hdr ESP HdrRest… Orig IP Hdr UDP src XXX, dst 4500UDP src 4500, dst 4500 ESP HdrRest…Orig IP Hdr NAT1 Hdr NAT2 Hdr Soluzione per NAT + IPsec NAT Orig IP HdrTCP HdrData Insert ESP Hdr Data TCP Hdr Orig IP Hdr Insert B nota per se stesso: N1 è in realtà A… Trova SA per A B e fix ESP HdrRest… UDPESP Hdr Inviato da A Ricevuto da B

25 A invia dati Invio di dati NAT AN1N2B Mappa statica: N2, 500 -> B, 500 N2, > B, 4500 Bs Note to self: N1 is really A… Find SA for A B UDP src 4500, dst 4500 A, N2 ESP …resto del pacchetto IPsec UDP src 8888, dst 4500 N1, N2 ESP …resto del pacchetto IPsec UDP src 8888, dst 4500 N1, B ESP …resto del pacchetto IPsec src 8888N1 B

26 Problema con la path MTU L2TP riceve PMTU error e corregge Correzione generale del PMTU è necessario per traffico non L2TP UDP src 4500, dst 4500 IP ESP …resto del pacchetto IPsec Lincremento della dimensione del pacchetto può generare errori di dimensione del path MTU

27 Stato di NAT traversal Guidato dalla necessita di accessi remoti con VPN basate su IPSec Implementato come standard IETF (RFC 3947 e RFC 3948) Interoperabilita con gateway di terze parti testata per L2TP + IPSec Per tutti gli usi di IPsec in Windows Server 2003 Sistema operativoL2TP+IPsecIPsec transport mode Windows Server 2003SiSi 4 Windows XPSi 1 Non raccomandato 5 Windows 2000Si 2 No Windows NT4Si 3 No Windows 98/MeSi 3 No Note 1: Windows Update o QFE Note 2: QFE Note 3: Con download dal web Note 4: FTP in active mode non funziona Note 5: Alcune riduzioni di PTMU non funzionanao

28 Scenari di implementazione Fondamentalmente consente/blocca con filtri di pacchetto Rende sicure le comunicazioni interne via LAN Da client a server Tra ampi gruppi di computer Uso di IPsec per la replica di dominio attraverso i firewalls Fornisce tunnel VPN site-to-site Fidato, accesso autorizza laccesso della macchine dalla rete

29 Packet filtering con IPsec Filtri per bloccare/consentire il traffico Nessuna negoziazione della security association Filtri in sovrapposizione: i più specifici determinano lazione eseguita Non fornisce stateful filtering Si deve impostare NoDefaultExempt = 1 da IPa IPProtocolloSrc PortDest PortAzione AnyMy Internet IPAnyn/a Block AnyMy Internet IPTCPAny80Permit

30 Il packet filtering è insufficiente From IP1 to IP2, UDP, src *, dst 88/389 From IP2 to IP1, UDP, src 88/389, dst * From IP2 to IP1, TCP, src *, dst 135 From IP1 to IP2, TCP, src 135, dst * Pacchetti IP spoofed contenenti query o codice maligno possono ancora raggiungere porte aperte sui firewall IP1 to IP2, UDP, src *, dst 88/389, … Esistono diversi tool per usare le porte 80, 88, 135, ecc per raggiungere qualsiasi porta di destinazione From IP2, to IP1, UDP, src 88/389, dst 88/389

31 Connessioni IPsec server initiated Active Directory Key Distribution Center (KDC) DC Windows Server 2003 Applicazione IPsec Driver Policy Client (Respond Only) Policy personalizzata ad alta sicurezza Sicurezza richiesta da me verso ogni destinazione, tutto il traffico unicast. Accett richieste non sicure. Fiducia nei membri del dominio. Mando in chiaro, traffico sicuro solo se richiesto. Fiducia nei membri di dominio. TGT Negoziazione IKE SA UDP:500 Session Ticket ticket SA IPsec stabilite Configurazione server non usabile verso Internet! filtri

32 Controllo dellaccesso a server con IPSec Isolamento logico dei dati Permessi di accesso al computer (IPSec) Permessi di accesso allhost Policy IPSec 2 2 Permessi di accesso allo share Group Policy Dept_Computers NAG Passo 1: Utente cerca di accedere ad uno share sul server Passo 2: Negoziazione IKE main mode Passo 3: Negoziazione IPSec security method Passo 1: Utente cerca di accedere ad uno share sul server Passo 2: Negoziazione IKE main mode Passo 3: Negoziazione IPSec security method

33 Controllo dellaccesso a server con IPSec Passo 1: Utente cerca di accedere ad uno share sul server Passo 2: Negoziazione IKE main mode Passo 3: Negoziazione IPSec security method Step 4: Verifica dei diritti di accesso allhost Step 5: Verifica dei diritti di accesso allo share Passo 1: Utente cerca di accedere ad uno share sul server Passo 2: Negoziazione IKE main mode Passo 3: Negoziazione IPSec security method Step 4: Verifica dei diritti di accesso allhost Step 5: Verifica dei diritti di accesso allo share Isolamento logico dei dati Permessi di accesso al computer (IPSec) Permessi di accesso allhost Policy IPSec Group Policy Dept_Computers NAG 4 Dept_Users NAG Permessi di accesso allo share 5

34 IPsec per le repliche di dominio DC1 DC2 Nel firewall aprire le porte: UDP:500 per IKE IP protocollo 50 ESP (non la porta 50!!) In ogni DC creare una policy IPsec. Definire un filtro che assicuri tutto il traffico verso lindirizzo IP del DC con IPsec ESP 3DES NoDefaultExempt=1 AD replication

35 Uso di IPsec ESP-null Autenticazione dei pacchetti Checksum significa che la sorgente è proprio la sorgente Il contenuto è il contenuto Facile fare troubleshoot con Netmon I firewall possono filtrare i pacchetti ESP-Null in base a protocollo e porta se necessario I sistemi NIDS possono esaminare il contenuto dei pacchetti se necessario

36 Scenari Implementazione enterprise-wide Evita che computer non membri di dominio possano fare qualsiasi cosa di utile IPSec con ESP-Null basato su certificati o Kerberos Applicabile con le group policy default domain Implementazione server-to-server Impedisce la presenza di server non autorizzati o mascherati sulla rete Solo certificati enrollment manuale

37 Prestazioni di IPSec Lutilizzo di IPSec ha alcuni effetti sulle prestazioni dei computer Il tempo di negoziazione iniziale di IKE è di circa 2-5 Cinque messaggi Autenticazione Kerberos o certificati Generazione delle chiavi e dei messaggi criptati Processo ripetuto ogni 8 ore per default, impostabile La rigenerazione delle chiavi di sessione è veloce, <1-2 secondi, tue messaggi, una volta allora, impostabile Come migliorare? Schede che consentano loffloading di IPsec consentono velocità paragonabili a quelle della rete CPU più veloci

38 Overhead durante il logon Impostazioni IPsec usate: ESP solo con 3DES e SHA1 per criptatura e integrità Kerberos come meccanismo di autenticazione Traffico e risultatiInboundOutboundTotale Traffico IP normale Traffico IPsec Overhead Overhead %4.19%3.57%3.93%

39 Overhead per un file transfer EsperimentoInboundOutboundByte totali Traffico IP normale Traffico AH Traffico ESP Overhead AH Overhead ESP Overhead % AH29.59%1.61%2.22% Overhead % ESP37.57%2.42%3.18%

40 Tool di gestione e troubleshooting IPsec monitor: Vista dettagliata del main mode e del quick mode con Tool da linea di comando IPSECCMD in XP (..\support) NETSH IPSEC in Windows Server 2003 (..\system32) Group Policy RSoP in Windows Server 2003 Contatori in Perfmon per IKE e IPsec (Windows Server 2003) Audit di IKE disabilitato per default in Windows Server 2003 Abilitabile log dettagliato per IKE (OAKLEY.log) NetMon v2 ha parser per AH, ESK (se non criptato o se in offload su scheda) e IKE

41 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Scaricare ppt "IPSec il guardiano del traffico di rete?. Di cosa parleremo? Per molto tempo defense-in-depth ha significato livelli diversi di protezione Lidea è quella."

Presentazioni simili


Annunci Google