IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli
IPSEC IP Security è uno standard per connessioni basate su reti sicure Progettato per comunicazioni end-to-end(in generale VPN) Garantisce Autenticazione del mittente Integrità dei dati Confidenzialità del contenuto (opzionale)
REQUISITI COMUNICAZIONE Creazione chiavi per l’autenticazione Associazione di sicurezza Policy
ASSOCIAZIONE DI SICUREZZA Gli indirizzi IP degli host coinvolti nella comunicazione Il protocollo che verrà utilizzato (AH o ESP) Le tecniche per la cifratura utilizzate Un intero a 32 bit chiamato SPI (Security Parameter Index)
INTERNET KEY EXCHANGE IKE è un servizio/demone usato per creare dinamicamente SA e gestire il relativo database Protocollo UDP e porta 500 per creare in 3 turni SA in entrambi gli end-point sia per il traffico in entrata sia per quello in uscita Protocollo a 2 fasi: Si stabilisce la sicurezza del canale fra i due peer Vengono applicate le SA create per la comunicazione
CREAZIONE ASSOCIAZIONE DI SICUREZZA A Header,SA B Header,sa A Header,KEY,Na,[Cert_Req] B Header,KEY,Nb,[Cert] A Header,ID_A,[Cert],firma B Header,ID_B,[Cert],firma A
SECURITY POLICY Indirizzo sorgente e indirizzo destinazione del pacchetto Il protocollo e la relativa porta da instradare Un identificativo della SA da utilizzare per proteggere i dati
GESTIONE COMUNICAZIONE SPD INTERNET VPN R1 R A B SADB SADB
GESTIONE ASSOCIAZIONE DI SICUREZZA Creazione dinamica chiavi tramite IKE Creazione associazioni di sicurezza, una per il traffico in entrata e uno in uscita Pacchetto in uscita: se la SA manca ne viene creata una Pacchetto in uscita: la policy deve permettere l’inoltro del pacchetto Pacchetto in entrata: se la SA manca viene scartato il pachetto Pacchetto in entrata: la policy deve permettere l’inoltro del pacchetto Una volta reperite le SA e le policy vengono portate in cache per processare pacchetti successivi
ANTIREPLAY SERVICE Previene il Denial of Service Corrispondenza fra i bit della finestra e i numeri di sequenza dei pacchetti I pacchetti all’interno della finestra nuovi vengono accettati I pacchetti a sinistra della finestra o al centro ma già scartati vengono rifiutati I pacchetti a destar della finestra ne causano lo scorrimento
MODALITA’ TRASPORTO Connessione host-to-host Usato solamente dagli end-point Viene cifrato solo il payload del datagramma IP Computazionalmente leggero Software necessario per implementare IPSEC Si aggiunge solo l’header IPSEC
MODALITA’ TRASPORTO NET ROUTER SWITCH S1SWITCH S2 A B
MODALITA’ TUNNEL Connessione gateway-to-gateway Viene cifrato tutto il pacchetto IP originale Utilizzato per realizzare VPN Computazionalmente oneroso Il software IPSEC necessario solo per i gateway Header del gateway e header IPSEC presenti
MODALITA’ TUNNEL INTERNET VPN R1 R A B
AUTHENTICATION HEADER Modalità trasporto Modalità tunnel Header IPHeader ahHeader TCPDATI Header IP esterno Header AHHeader IP Header TCP DATI DATI AUTENTICATI
FORMATO HEADER Header successivoDimensione payloadRISERVATO Security Parameter Index (SPI) Numero di successione Dati per l’autenticazione (lunghezza variabile) 0123
ENCAPSULATING SECURITY PAYLOAD Header IP Header ESP Header TCP DATI Trailer ESP ESP Auth DATI AUTENTICATI Header IP Header ESP Header IP interno Header TCP DATI Trailer ESP Auth DATI AUTENTICATI DATI CRIPTATI
FORMATO TRAILER ESP Dati per l’autenticazione (lunghezza variabile) 0123 Dati protetti PaddingLunghezza PAD Prossimo Header
GRAZIE PER L’ATTENZIONE