IPSec il guardiano del traffico di rete?

IPSec Di cosa parleremo? Per molto tempo “defense-in-depth” ha significato livelli diversi di protezione L’idea è quella di un castello medievale… L’host stesso adesso deve contribuire alla sua difesa Si raggiunge maggiore granularità nella sicurezza Aumenta la fiducia: anche le macchine sono note Problemi comuni risolti Spoofing Privacy IPSec

I modi di IPSec Non esiste nulla che si chiami “IPsec tunnel”! Tipi Transport mode Tunnel mode Metodi AH (authenticated header) ESP (encapsulated security payload)

IPsec authentication header (AH) Transport mode AH = IP protocollo 51 – 24 bytes in totale Orig IP Hdr TCP Hdr Data AH Hdr Insert Orig IP Hdr TCP Hdr Data Next Hdr Payload Len Rsrv SecParamIndex Seq# Keyed Hash Integrità garantita dall'hash

IPsec encapsulating security payload (ESP) Transport mode ESP = IP protocollo 50 - 22-36 bytes in totale Orig IP Hdr TCP Hdr Data ESP Hdr Insert ESP Trailer ESP Auth Append Orig IP Hdr TCP Hdr Data Normalmente criptato Integrità garantita dell’hash

IPsec encapsulating security payload (ESP) Transport mode ESP = IP protocollo 50 - 22-36 bytes in totale Orig IP Hdr TCP Hdr Data ESP Hdr Insert ESP Trailer ESP Auth Append Orig IP Hdr TCP Hdr Data Seq# InitVector SecParamIndex Padding PadLength NextHdr Keyed Hash Normalmente criptato Integrità garantita dall’hash

IPsec ESP Tunnel mode Orig IP Hdr TCP Hdr Data Data TCP Hdr IP Hdr Nuovo header IP con indirizzi IP sorgente e destinazione ESP Hdr ESP Trailer ESP Auth Normalmente criptato Integrità garantita dall’hash

Generazione della Security Association Applicazione o servizio client Applicazione server o gateway UDP:500 negoziazione 1 IKE SA IPSec policy agent IPSec policy agent IKE (ISAKMP) IKE (ISAKMP) 2 IPsec SA IPsec driver TCPIP IPsec driver TCPIP IP protocollo 50/51 filtri NIC filtri NIC “IKE responder” “IKE initiator” Internet Key Exchange (IKE) — Identity Protect Mode (RFC 2409) Fase 1 “Main Mode” stabilisce la IKE SA — canale fidato tra i sistemi, la negoziazione stabilisce il canale criptato, la mutua fiducia e dinamicamente genera le chiave condivisa (master key) Fase 2 “Quick Mode” stabilisce le IPsec SA — per la protezione dei dati, una SA per ogni direzione identificata da un’etichetta per pacchetto (SPI), accordo su algoritmo e formato dei pacchetti, generate le chiavi di sessione derivate dalla “master” key

Negoziazione della protezione Necessari due messaggi Da initiator a responder: contiene la proposta Da responder a initiator: contiene la proposta selezionata Suite di protezione: Algoritmi di criptatura DES, 3DES, Null Algoritmi di integrità MD5, SHA-1, Null Metodi di autenticazione Kerberos, preshared key, certificate Gruppi Diffie-Hellman Group 1 (768-bit), Group 2 (1024-bit), Group 2048 (Windows 2003)

Componenti di IPsec policy Intervallo di polling usato per determinare modifiche nelle policy Parametri IKE, come durata delle chiavi di criptatura. Comportamento di IPsec per le policy Tipo di traffico a cui si applica un’azione Consenti, blocca o metti in sicurezza Kerberos, certificati o chiavi condivise LAN, dialup o entrambi

Stack TCP/IP Kernel mode – WinXP/2k/2K3 RRAS Input/Output Interface Filters (SDK) WinSock NAT apis (SDK) Winsock Layered Service Providers (SDK) TDI API (DDK)/AFD.SYS TCP/UDP/IP Connection UI Filters TCP UDP ICMP Raw ICS-NAT/ICF (ipnat.sys) IP Stack IP Filter Hook (DDK) IP Packet Filter driver (ipfltdrv.sys) IPsec Filters, Encryption (ipsec.sys, fips.sys) IP Frag/Reassembly NDIS 5.0 LAN/WAN miniports VPN=PPP virtual WAN interfaces Netmon driver (NMnt.sys) PPTP L2TP Miniport per offload (DDK): TCP checksum, IPsec, Invio di TCP “grandi”

Traffico non filtrato da IPsec Traffico broadcast Non è possibile mettere in sicurezza riceventi multipli Traffico multicast Da 224.0.0.0 fino a 239.255.255.255 RSVP— Protocollo IP tipo 46 Consente a RSVP di segnalare la qualità del servizio (QOS) richiesta per il traffico di applicazioni che possono anche essere protette da requests IPsec Kerberos — UDP:88 (sorgente o destinazione) Kerberos è di per se un protocollo sicuro che il servizio di negoziazione IKE può usare per autenticare altri computer nel dominio IKE — UDP:500 (destinazione) Richiesto per consentire ad IKE di negoziare i parametri di sicurezza di IPSec

NoDefaultExemptions Documentata in Q254728 Può indicare se filtrare Kerberos e/o RSVP con IPsec Quando sotto filtro, IPsec può bloccare o mettere in sicurezza questi protocolli Se Kerberos è messo in sicurezza da IPsec… IKE non può usare Kerberos per l’autenticazione Si devono usare certificates (bene) o chiavi condivise (male)

NoDefaultExemptions Windows Server 2003 ha rimosso tutte le default exemptions eccetto IKE Ci sono modifiche di funzionamento nei service pack per Windows 2000 e Windows XP Windows 2000 SP4 e Windows XP SP2 hanno rimosso Kerberos e RSVP Usare il valore 0 per la chiave di registry per ripristinare le esenzioni di default

Confronto tra le esenzioni Valore Kerberos RSVP B/M’cast Default X Windows 2000 SP3 Windows XP SP1 1 no Windows 2000 SP4 Windows XP SP2 2 3 Windows 2003 X = Traffico esentato dal filtro IKE (500/udp) è sempre esentato I valori 2 e 3 sono supportati solo su Windows Server 2003 only For Windows Server 2003, multicast and broadcast traffic is not exempted from IPsec filtering by default. However, most IPsec filters are defined for unicast traffic, and thus will not match multicast or broadcast traffic. Windows Server 2003 IPsec does not support defining specific multicast or broadcast filters for inbound and outbound traffic. A filter from Any IP to Any IP, all traffic, is supported to block multicast and broadcast traffic.

Come applicare IPsec L’amministratore disegna un insieme di configurazioni Chiamate nell’insieme “IPsec policy” Si deve conoscere il traffico IP richiesto dalle applicazioni e dai sistemi Simile a ACL di firewall o router Per la configurazione di può usare lo smap in per MMC “IPsec policy management”

Come applicare IPsec Usare “Local Security Policy” per creare policy statiche salvate nel registry Usare le group policy di Active Directory per una gestione centralizzata Usare IPSECPOL.EXE (Windows 2000) o IPSECCMD.EXE (Windows XP) per creare policy statiche e dinamiche da linea di comando

Netsh IPSEC Presente in in Windows Server 2003 Sostituisce IPSECPOL e IPSECCMD Consente l’accesso a funzioni non presenti nella UI Traffico esentato per default Controllo della CRL (nessuna/standard/forte) Abilitazione dinamica del log di IKE Abilitazione dinamica del log del driver IPsec Sicurezza persistente (all’avvio del computer) Traffico esentato dall’avvio del computer

Sicurezza del computer dall’avvio Policy persistenti Fornisce policy persistenti e attive dal boot netsh ipsec dynamic set config property=bootmode value=… stateful: outbound, inbound, DHCP block: nulla fino all’applicazione della policy permit: tutto consentito Il default e stateful dopo l’assegnazione di una policy property=bootexemptions value=ex1 ex2… protocol= src|destport= direction=

NAT header modification breaks AH Integrity Hash Problemi NAT + IPsec Problema 1 Violazione AH NAT NAT1 Hdr NAT1 Hdr NAT2 Hdr Orig IP Hdr TCP Hdr Data Insert AH Hdr Data TCP Hdr Orig IP Hdr NAT1 Hdr NAT2 Hdr Next Hdr Payload Len Rsrv SecParamIndex Keyed Hash Seq# 24 byte totale AH = IP protocollo 51 Integrità garantita da hash (eccetto campi variabili IP hdr) NAT header modification breaks AH Integrity Hash

Problemi NAT + IPsec Il drop dei frammenti blocca IKE Frammenti IKE Problema 2 Frammenti IKE NAT SA, VendorID Request security SA, VendorID OK to secure KE, Nonce Policy: CA1 CA3 KE, CRPs, Nonce Policy: Use CA CA1 ID, Cert, Sig, CRPs CA1 Il payload dei certificati eccede la frame IP IKE genera frammenti IP NAT (o lo switch) scarta i frammenti Trusted Root Trusted Root CA Cert1 CA Cert2 CA Cert1 CA Cert3 machine cert Personal machine cert Personal Il drop dei frammenti blocca IKE

Problemi NAT + IPsec A B IPsec tunnel mode “helper” NAT Problema 3 IPsec tunnel mode “helper” A NAT B Problema con NAT Helper : Pensato solo per tunnel mode ma agisce anche sul transport mode Blocca le sessioni IPSec multiple Il primo iniziator prende tutti gli IPSec IKE set-up PC A Mappa NAT semi statica IPSec ad A IKE set-up PC B Percorso di ritorno al PC A

Modello di soluzione Riconoscere la presenza di NAT Escludere IPSec dal dialogo per le porte mappabilida IPSec Incapsulare IPsec in UDP con una gestione brillante dell’assegnazione dinamica delle porte Prevenire i frammenti IP (Microsoft)

Soluzione per NAT + IPsec Orig IP Hdr TCP Hdr Data Insert ESP Hdr Data TCP Hdr Orig IP Hdr Insert UDP src 4500, dst 4500 ESP Hdr Rest… Orig IP Hdr Inviato da A Orig IP Hdr NAT1 Hdr NAT2 Hdr ESP Hdr Rest… Orig IP Hdr UDP src XXX, dst 4500 ESP Hdr Rest… Ricevuto da B UDPESP Hdr Orig IP Hdr B nota per se stesso: “N1 è in realtà A… Trova SA per A<->B e fix”

Invio di dati A N1 N2 B A invia dati NAT NAT Mappa statica: N2, 500 -> B, 500 N2, 4500 -> B, 4500 A invia dati UDP src 4500, dst 4500 A, N2 ESP …resto del pacchetto IPsec UDP src 8888, dst 4500 N1, N2 ESP …resto del pacchetto IPsec src 8888 N1 UDP src 8888, dst 4500 N1, B ESP …resto del pacchetto IPsec B B’s Note to self: “N1 is really A… Find SA for A<->B”

Problema con la path MTU IP UDP src 4500, dst 4500 ESP …resto del pacchetto IPsec L’incremento della dimensione del pacchetto può generare errori di dimensione del path MTU L2TP riceve PMTU error e corregge Correzione generale del PMTU è necessario per traffico non L2TP

Stato di NAT traversal Guidato dalla necessita di accessi remoti con VPN basate su IPSec Implementato come standard IETF (RFC 3947 e RFC 3948) Interoperabilita con gateway di terze parti testata per L2TP + IPSec Per tutti gli usi di IPsec in Windows Server 2003 Sistema operativo L2TP+IPsec IPsec transport mode Windows Server 2003 Si Si4 Windows XP Si1 Non raccomandato5 Windows 2000 Si2 No Windows NT4 Si3 Windows 98/Me Note 1: Windows Update o QFE Note 2: QFE Note 3: Con download dal web Note 4: FTP in active mode non funziona Note 5: Alcune riduzioni di PTMU non funzionanao

Scenari di implementazione Fondamentalmente consente/blocca con filtri di pacchetto Rende sicure le comunicazioni interne via LAN Da client a server Tra ampi gruppi di computer Uso di IPsec per la replica di dominio attraverso i firewalls Fornisce tunnel VPN site-to-site Fidato, accesso autorizza l’accesso della macchine dalla rete

Packet filtering con IPsec Filtri per bloccare/consentire il traffico Nessuna negoziazione della security association Filtri in sovrapposizione: i più specifici determinano l’azione eseguita Non fornisce stateful filtering Si deve impostare NoDefaultExempt = 1 da IP a IP Protocollo Src Port Dest Port Azione Any My Internet IP n/a Block TCP 80 Permit

Il packet filtering è insufficiente From IP1 to IP2, UDP, src *, dst 88/389 From IP2 to IP1, UDP, src 88/389, dst * From IP2 to IP1, TCP, src *, dst 135 From IP1 to IP2, TCP, src 135, dst * Pacchetti IP spoofed contenenti query o codice maligno possono ancora raggiungere porte aperte sui firewall IP1 to IP2, UDP, src *, dst 88/389, … Esistono diversi tool per usare le porte 80, 88, 135, ecc per raggiungere qualsiasi porta di destinazione From IP2, to IP1, UDP, src 88/389, dst 88/389

Connessioni IPsec “server initiated” Applicazione Policy Client (Respond Only) Negoziazione IKE SA UDP:500 Policy personalizzata ad alta sicurezza Session Ticket ticket IPsec Driver filtri SA IPsec stabilite “Mando in chiaro, traffico sicuro solo se richiesto. Fiducia nei membri di dominio.” “Sicurezza richiesta da me verso ogni destinazione, tutto il traffico unicast. Accett richieste non sicure. Fiducia nei membri del dominio. ” TGT Active Directory Key Distribution Center (KDC) DC Windows Server 2003 Configurazione server non usabile verso Internet!

Controllo dell’accesso a server con IPSec Passo 1: Utente cerca di accedere ad uno share sul server Passo 2: Negoziazione IKE main mode Passo 3: Negoziazione IPSec security method Permessi di accesso allo share Isolamento logico dei dati Permessi di accesso all’host Group Policy Dept_Computers NAG Permessi di accesso al computer (IPSec) Policy IPSec 2 1 3

Controllo dell’accesso a server con IPSec Passo 1: Utente cerca di accedere ad uno share sul server Passo 2: Negoziazione IKE main mode Passo 3: Negoziazione IPSec security method Step 4: Verifica dei diritti di accesso all’host Step 5: Verifica dei diritti di accesso allo share Permessi di accesso allo share 5 Isolamento logico dei dati Permessi di accesso all’host 4 Dept_Users NAG Group Policy Permessi di accesso al computer (IPSec) Dept_Computers NAG Policy IPSec 2 3 1

IPsec per le repliche di dominio In ogni DC creare una policy IPsec. Definire un filtro che assicuri tutto il traffico verso l’indirizzo IP del DC con IPsec ESP 3DES DC2 DC1 AD replication Nel firewall aprire le porte: UDP:500 per IKE IP protocollo 50 ESP (non la porta 50!!) NoDefaultExempt=1

Uso di IPsec ESP-null Autenticazione dei pacchetti Checksum significa che la sorgente è proprio la sorgente Il contenuto è il contenuto Facile fare troubleshoot con Netmon I firewall possono filtrare i pacchetti ESP-Null in base a protocollo e porta se necessario I sistemi NIDS possono esaminare il contenuto dei pacchetti se necessario

Scenari Implementazione enterprise-wide Evita che computer non membri di dominio possano fare qualsiasi cosa di utile IPSec con ESP-Null basato su certificati o Kerberos Applicabile con le group policy “default domain” Implementazione server-to-server Impedisce la presenza di server non autorizzati o mascherati sulla rete Solo certificati — enrollment manuale

Prestazioni di IPSec L’utilizzo di IPSec ha alcuni effetti sulle prestazioni dei computer Il tempo di negoziazione iniziale di IKE è di circa 2-5 Cinque messaggi Autenticazione — Kerberos o certificati Generazione delle chiavi e dei messaggi criptati Processo ripetuto ogni 8 ore per default, impostabile La rigenerazione delle chiavi di sessione è veloce, <1-2 secondi, tue messaggi, una volta all’ora, impostabile Come migliorare? Schede che consentano l’offloading di IPsec consentono velocità paragonabili a quelle della rete CPU più veloci

Overhead durante il logon Traffico e risultati Inbound Outbound Totale Traffico IP normale 24.434 17.979 42.413 Traffico IPsec 25.457 18.621 44.078 Overhead 1.023 642 1.665 Overhead % 4.19% 3.57% 3.93% Impostazioni IPsec usate: ESP solo con 3DES e SHA1 per criptatura e integrità Kerberos come meccanismo di autenticazione

Overhead per un file transfer Esperimento Inbound Outbound Byte totali Traffico IP normale 2.084.031 94.646.227 96.730.257 Traffico AH 2.700.627 96.174.275 98.874.902 Traffico ESP 2.867.099 96.941.132 99.808.231 Overhead AH 616.596 1.528.048 2.144.645 Overhead ESP 783.068 2.294.905 3.077.974 Overhead % AH 29.59% 1.61% 2.22% Overhead % ESP 37.57% 2.42% 3.18%

Tool di gestione e troubleshooting IPsec monitor: Vista dettagliata del “main mode” e del “quick mode” con Tool da linea di comando IPSECCMD in XP (..\support) NETSH IPSEC in Windows Server 2003 (..\system32) Group Policy RSoP in Windows Server 2003 Contatori in Perfmon per IKE e IPsec (Windows Server 2003) Audit di IKE disabilitato per default in Windows Server 2003 Abilitabile log dettagliato per IKE (OAKLEY.log) NetMon v2 ha parser per AH, ESK (se non criptato o se in offload su scheda) e IKE

© 2005 Microsoft Corporation. All rights reserved © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.