IPSec Fabrizio Grossi

Cos’è IPSec? Benefici di IPSec IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire la sicurezza dei dati durante le trasmissioni in rete Benefici di IPSec Mutua Autenticazione prima e durante le comunicazioni Confidenzialità tramite la criptazione del traffico IP Integrità del traffico IP: viene rifiutato il traffico modificato

Protocolli IPSec Data authenticity Data integrity Authentication Headers Data authenticity Data integrity Anti-spoofing protection Signed IP Header AH TCP/UDP Header Application Data New IP Header ESP Hdr Encrypted Signed Source authentication Data encryption Anti-spoofing protection Encapsulating Security Payloads Original IP Header TCP/UDP Header Application Data ESP Trailer ESP Auth

Come IPSec protegge il traffico IPSec Policy 1 Active Directory TCP Layer IPSec Driver Encrypted IP Packets 3 Security Association Negotiation (ISAKMP) 2

What is an IPSec Security Policy? IPSec usa regole e policy per proteggere il traffico di rete Le Regole sono composte di: Filter Filter action Un metodo di autenticazione Le Policy di Default includono: Client (Respond Only) Server (Request Security) Secure Server (Require Security)

How IPSec Policies Work Together No policy assigned Client (Respond Only) Server (Request Security) Secure Server (Require Security) No IPSec No communication IPSec Secure server (Require Security)

Scenari IPSec Filtraggio di pacchetti consenti/blocca di base Comunicazioni LAN interne protette Replica di domini attraverso firewall VPN attraverso supporti non attendibili

Implementazione dei filtri di pacchetti IPSec Filtri per traffico consentito e bloccato Nessuna effettiva negoziazione delle associazioni di protezione IPSec Filtri sovrapposti—la corrispondenza migliore determina l'azione Non fornisce il filtraggio basato sullo stato È necessario impostare "NoDefaultExempt = 1" per la protezione Da IP Verso IP Protocollo Porta origine Porta destinazione Azione Qualsiasi IP internet N/D Blocca TCP 80 Consenti

Limiti dei filtri pacchetti per la protezione dei server I pacchetti IP con query o contenuto dannoso possono ancora raggiungere le porte aperte attraverso i firewall IPSec non fornisce il filtraggio basato sullo stato Molti strumenti utilizzati dagli hacker sfruttano le porte di origine 80, 88, 135 e così via per connettersi a qualsiasi porta di destinazione

Protezione delle comunicazioni interne Utilizzare IPSec per fornire l'autenticazione reciproca dei dispositivi Utilizzare certificati o Kerberos La chiave già condivisa è adatta solo per i test Utilizzare AH (Authentication Header) per proteggere l'integrità dei pacchetti AH offre l'integrità dei pacchetti AH non crittografa i dati, quindi consente i rilevamenti di intrusioni sulla rete Utilizzare ESP (Encapsulation Security Payload) per crittografare il traffico riservato ESP offre integrità e riservatezza dei pacchetti La crittografia impedisce l'ispezione dei pacchetti Pianificare con attenzione il traffico da proteggere

Traffico non filtrato da IPSec Indirizzi IP broadcast Impossibile proteggere per più destinatari Indirizzi multicast Da 224.0.0.0 a 239.255.255.255 Kerberos—Porta di origine o destinazione UDP 88 Kerberos è un protocollo sicuro che può essere utilizzato dal servizio di negoziazione IKE (Internet Key Exchange) per l'autenticazione di altri computer in un dominio IKE—Porta di destinazione UDP 500 Necessaria per consentire a IKe di negoziare i parametri per la protezione IPSec In Windows Server 2003 viene configurata solo l'esenzione predefinita di IKE

IPSec per la replica di domini Utilizzare IPSec per la replica attraverso i firewall Su ogni controller di dominio creare un criterio IPSec per proteggere tutto il traffico verso l'indirizzo IP dell'altro controller di dominio Utilizzare ESP 3DES per la crittografia Consentire il traffico attraverso il firewall: Porta UDP 500 (IKE) Protocollo IP 50 (ESP)

VPN attraverso supporti non attendibili VPN client Utilizzare L2TP/IPSec VPN di filiale Tra Windows 2000 o Windows Server, con RRAS: Utilizzare il tunnel L2TP/IPSec (facile da configurare, appare come un'interfaccia di routing) Verso i gateway di terze parti: Utilizzare L2TP/ISec o la modalità tunnel IPSec puro Verso il gateway Microsoft Windows NT® 4 RRAS: Utilizzare PPTP (IPSec non disponibile)

Prestazioni di IPSec L'elaborazione di IPSec ha un impatto sulle prestazioni Tempo di negoziazione di IKE, circa 2-5 secondi inizialmente 5 cicli Autenticazione—Kerberos o certificati Generazione di chiavi crittografiche e messaggi crittografati Ogni 8 ore per impostazione predefinita, configurabile Reimpostazione veloce delle chiavi di sessione—<1–2 sec., 2 cicli, uno all'ora, configurabile Crittografia dei pacchetti Come migliorare? Offload sulle NIC per l'elaborazione IPSec alla massima velocità Utilizzo di CPU più veloci

Procedure ottimali Pianificare con attenzione l'implementazione di IPSec Scegliere tra AH e ESP Utilizzare Criteri di gruppo per configurare i criteri IPSec Considerare l'impiego di NIC IPSec Non utilizzare mai l'autenticazione con chiave condivisa all'esterno del laboratorio di test Scegliere tra certificati e autenticazione Kerberos Utilizzare IPSec con prudenza per le comunicazioni con i controller di dominio e altri server dell'infrastruttura

Fine