IPSec Fabrizio Grossi.

Slides:



Advertisements
Presentazioni simili
Informatica e Telecomunicazioni
Advertisements

Elaborazione del Book Informatico
Servizi integrati e completi per la piccola impresa Andrea Candian.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Introduzione ad Active Directory
La sicurezza delle reti Wireless
Configuring Network Access
Microsoft Message Management Services Infosecurity – Milano Febbraio 2005 Bruno Barbagli Sales Solution Specialist.
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Distribuzione e gestione di reti ed uffici con PC basati su Windows XP
IPSec il guardiano del traffico di rete?
00 AN 1 Firewall Protezione tramite firewall.
INTERNET FIREWALL Bastion host Laura Ricci.
Reti Private Virtuali (VPN)
Organizzazione di una rete Windows 2003
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
IEEE 802.1x (Port Based Network Access Control)
Secure Shell Giulia Carboni
SEVER RAS.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: protocolli crittografici Lez. 12.
Il Client Windows98 Client nel dominio Windows 2000.
SSL (Secure Socket Layer)
La Sicurezza nelle reti Wireless
Test sul Cisco VPN Concentrator
Attività del gruppo di lavoro VPN Provare: – Sistemi: BOX commerciali Sistemi gratuiti – Collegamenti: fra siti INFN da ISP a INFN Valutare: – Difficoltà
IPsec1 IPsec Seminario di Sicurezza a.a 2003/2004 Pastorino Luca.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Protocollo di autenticazione KERBEROS
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Acer Mnemonick presentazione commerciale
Tecnologia VPN: gestire lo studio a distanza MARTISOFT SA Relatore: A. Arrigo – System Engineer – MARTISOFT SA.
ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.
Modulo 2 – U.D. 1 – Lez. 2 Ernesto Damiani – Sistemi di elaborazione dell'informazione.
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
Un problema importante
Configurazione di una rete Windows
TCP/IP.
TCP/IP.
L’architettura a strati
Tecnologia GETVPN Andrea Terren April,2010. Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. –UDP 848 per GDOI ( Group Domain.
Attivazione protocollo SSL al sistema di posta elettronica
Attivazione protocollo SSL al sistema di posta elettronica Secure Sockets Layer (SSL) è un protocollo crittografico che permette una comunicazione sicura.
Comunicazioni Multimediali II
RETI MOBILI E MULTIMEDIALI Università degli Studi di Roma “La Sapienza” Dipartimento INFOCOM Aldo Roveri Lezioni dell’ a.a Aldo Roveri Lezioni.
Cresce la famiglia Cosy!
Certificati e VPN.
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
Protocolli di Sicurezza
VPN Marco Sanlorenzo.
Relatore: Ing. Francesco Lo Presti Correlatore: Ing. Stefano Salsano UPMT: progetto e realizzazione di una soluzione di mobilità verticale e overlay networking.
Procedure di Sicurezza nella Soluzione UPMT per la Mobilità Verticale in Reti IP 1.
IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli.
Comune di Vicopisano VicoNET Rete Civica del Comune di Vicopisano Paolo Alderigi Febbraio 2003.
Reti II Stefano Leonardi
Cenni sulla sicurezza delle Reti
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Internetworking V anno.
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
Silvia Pasqualotto e Giulia Nanino
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
The Unified Threat Management Security Appliance Hystrix
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Virtual Private Networks
Transcript della presentazione:

IPSec Fabrizio Grossi

Cos’è IPSec? Benefici di IPSec IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire la sicurezza dei dati durante le trasmissioni in rete Benefici di IPSec Mutua Autenticazione prima e durante le comunicazioni Confidenzialità tramite la criptazione del traffico IP Integrità del traffico IP: viene rifiutato il traffico modificato

Protocolli IPSec Data authenticity Data integrity Authentication Headers Data authenticity Data integrity Anti-spoofing protection Signed IP Header AH TCP/UDP Header Application Data New IP Header ESP Hdr Encrypted Signed Source authentication Data encryption Anti-spoofing protection Encapsulating Security Payloads Original IP Header TCP/UDP Header Application Data ESP Trailer ESP Auth

Come IPSec protegge il traffico IPSec Policy 1 Active Directory TCP Layer IPSec Driver Encrypted IP Packets 3 Security Association Negotiation (ISAKMP) 2

What is an IPSec Security Policy? IPSec usa regole e policy per proteggere il traffico di rete Le Regole sono composte di: Filter Filter action Un metodo di autenticazione Le Policy di Default includono: Client (Respond Only) Server (Request Security) Secure Server (Require Security)

How IPSec Policies Work Together No policy assigned Client (Respond Only) Server (Request Security) Secure Server (Require Security) No IPSec No communication IPSec Secure server (Require Security)

Scenari IPSec Filtraggio di pacchetti consenti/blocca di base Comunicazioni LAN interne protette Replica di domini attraverso firewall VPN attraverso supporti non attendibili

Implementazione dei filtri di pacchetti IPSec Filtri per traffico consentito e bloccato Nessuna effettiva negoziazione delle associazioni di protezione IPSec Filtri sovrapposti—la corrispondenza migliore determina l'azione Non fornisce il filtraggio basato sullo stato È necessario impostare "NoDefaultExempt = 1" per la protezione Da IP Verso IP Protocollo Porta origine Porta destinazione Azione Qualsiasi IP internet N/D Blocca TCP 80 Consenti

Limiti dei filtri pacchetti per la protezione dei server I pacchetti IP con query o contenuto dannoso possono ancora raggiungere le porte aperte attraverso i firewall IPSec non fornisce il filtraggio basato sullo stato Molti strumenti utilizzati dagli hacker sfruttano le porte di origine 80, 88, 135 e così via per connettersi a qualsiasi porta di destinazione

Protezione delle comunicazioni interne Utilizzare IPSec per fornire l'autenticazione reciproca dei dispositivi Utilizzare certificati o Kerberos La chiave già condivisa è adatta solo per i test Utilizzare AH (Authentication Header) per proteggere l'integrità dei pacchetti AH offre l'integrità dei pacchetti AH non crittografa i dati, quindi consente i rilevamenti di intrusioni sulla rete Utilizzare ESP (Encapsulation Security Payload) per crittografare il traffico riservato ESP offre integrità e riservatezza dei pacchetti La crittografia impedisce l'ispezione dei pacchetti Pianificare con attenzione il traffico da proteggere

Traffico non filtrato da IPSec Indirizzi IP broadcast Impossibile proteggere per più destinatari Indirizzi multicast Da 224.0.0.0 a 239.255.255.255 Kerberos—Porta di origine o destinazione UDP 88 Kerberos è un protocollo sicuro che può essere utilizzato dal servizio di negoziazione IKE (Internet Key Exchange) per l'autenticazione di altri computer in un dominio IKE—Porta di destinazione UDP 500 Necessaria per consentire a IKe di negoziare i parametri per la protezione IPSec In Windows Server 2003 viene configurata solo l'esenzione predefinita di IKE

IPSec per la replica di domini Utilizzare IPSec per la replica attraverso i firewall Su ogni controller di dominio creare un criterio IPSec per proteggere tutto il traffico verso l'indirizzo IP dell'altro controller di dominio Utilizzare ESP 3DES per la crittografia Consentire il traffico attraverso il firewall: Porta UDP 500 (IKE) Protocollo IP 50 (ESP)

VPN attraverso supporti non attendibili VPN client Utilizzare L2TP/IPSec VPN di filiale Tra Windows 2000 o Windows Server, con RRAS: Utilizzare il tunnel L2TP/IPSec (facile da configurare, appare come un'interfaccia di routing) Verso i gateway di terze parti: Utilizzare L2TP/ISec o la modalità tunnel IPSec puro Verso il gateway Microsoft Windows NT® 4 RRAS: Utilizzare PPTP (IPSec non disponibile)

Prestazioni di IPSec L'elaborazione di IPSec ha un impatto sulle prestazioni Tempo di negoziazione di IKE, circa 2-5 secondi inizialmente 5 cicli Autenticazione—Kerberos o certificati Generazione di chiavi crittografiche e messaggi crittografati Ogni 8 ore per impostazione predefinita, configurabile Reimpostazione veloce delle chiavi di sessione—<1–2 sec., 2 cicli, uno all'ora, configurabile Crittografia dei pacchetti Come migliorare? Offload sulle NIC per l'elaborazione IPSec alla massima velocità Utilizzo di CPU più veloci

Procedure ottimali Pianificare con attenzione l'implementazione di IPSec Scegliere tra AH e ESP Utilizzare Criteri di gruppo per configurare i criteri IPSec Considerare l'impiego di NIC IPSec Non utilizzare mai l'autenticazione con chiave condivisa all'esterno del laboratorio di test Scegliere tra certificati e autenticazione Kerberos Utilizzare IPSec con prudenza per le comunicazioni con i controller di dominio e altri server dell'infrastruttura

Fine