IPsec1 IPsec Seminario di Sicurezza a.a 2003/2004 Pastorino Luca.

Slides:



Advertisements
Presentazioni simili
ISA Server 2004 Configurazione di Accessi via VPN
Advertisements

Configuring Network Access
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
INTERNET FIREWALL Bastion host Laura Ricci.
Reti Private Virtuali (VPN)
IL NOSTRO LABORATORIO. Di INFORMATICA..
I modelli di riferimento OSI e TCP/IP
La rete in dettaglio: rete esterna (edge): applicazioni e host
Laurea Triennale in Infermieristica
Moving Moving Young Young Turin Turin Hydrogen Hydrogen Olympic Olympic Safe RETE MANET informazioni in movimento.
Come programmare servizi di rete?
Per crittografia si intende la protezione
Anno Accademico Corso di Informatica Informatica per Scienze Biologiche e Biotecnologie Anno Accademico
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Secure Shell Giulia Carboni
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: protocolli crittografici Lez. 12.
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
SSL (Secure Socket Layer)
Reti di Calcolatori IL LIVELLO RETE.
Concetti introduttivi
Reti di Calcolatori IL LIVELLO RETE.
Test sul Cisco VPN Concentrator
Attività del gruppo di lavoro VPN Provare: – Sistemi: BOX commerciali Sistemi gratuiti – Collegamenti: fra siti INFN da ISP a INFN Valutare: – Difficoltà
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
Corso di Informatica per Giurisprudenza Lezione 7
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Tecnologia VPN: gestire lo studio a distanza MARTISOFT SA Relatore: A. Arrigo – System Engineer – MARTISOFT SA.
U N INFRASTRUTTURA DI SUPPORTO PER SERVIZI DI FILE HOSTING Matteo Corvaro Matricola Corso di Reti di Calcolatori LS – Prof. A. Corradi A.A.
MODELLI DI RIFERIMENTO
UNIVERSITA’ DEGLI STUDI DI PERUGIA
Il modello di riferimento OSI
Reti di calcolatori 14 novembre 2003 INFORMATICA GENERALE Scienze per Operatori dei Servizi Giuridici Anno Accademico
Internet e Sicurezza dei Sistemi
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
L’architettura a strati
IPSec Fabrizio Grossi.
Tecnologia GETVPN Andrea Terren April,2010. Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. –UDP 848 per GDOI ( Group Domain.
Analisi e sperimentazione di una Certification Authority
RETI MOBILI E MULTIMEDIALI Università degli Studi di Roma “La Sapienza” Dipartimento INFOCOM Aldo Roveri Lezioni dell’ a.a Aldo Roveri Lezioni.
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
1: Introduction1 Stratificazione protocollare (Protocol “Layering”) Le reti sono complesse! r Molti elementi: m host m router m link fisici dalle caratteristiche.
Certificati e VPN.
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
VPN Marco Sanlorenzo.
Procedure di Sicurezza nella Soluzione UPMT per la Mobilità Verticale in Reti IP 1.
Livello 3 Network (Rete)
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Servizi Internet Claudia Raibulet
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Reti II Stefano Leonardi
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Sistemi e Tecnologie della Comunicazione
Internetworking V anno.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Corso "RouterOS in Pratica"
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Virtual Private Networks
Mosto Alessio IPsec Mosto Alessio 07/01/2003 IPsec.
Transcript della presentazione:

IPsec1 IPsec Seminario di Sicurezza a.a 2003/2004 Pastorino Luca

IPsec2 Argomenti del seminario Perché è nato IPsec Cosè una VPN Che cosè IPsec Concetti base di IPsec

IPsec3 Perché è nato IPsec? Esigenze di sicurezza su rete Fondamentale insicurezza dei protocolli di rete Voler utilizzare Internet come propria infrastruttura per connettere le proprie reti locali in maniera sicura: VPN

IPsec4 Cosè una VPN? Virtual Private Network: è un concetto che può essere implementato nella pratica con lutilizzo di tecnologie diverse fra loro. Alla base vi è la necessità di avere una insieme di calcolatori che possono fare parte fisicamente di reti diverse (distanti fra loro e topologicamente eterogenee) ma appartenere alla stessa rete logica (VPN). Lutilizzo di meccanismi di autenticazione e crittografia rende questa rete privata.

IPsec5 VPN e IPsec Significherebbe dunque utilizzare Internet come una Virtual Private Network (VPN), risparmiando così in termini di costi e risorse da investire. IPsec permette tutto questo: connettere uffici e utenti privati, usando una qualsiasi IP network insicura, per una interconnessione sicura.

IPsec6 Che cosè IPsec? Lo standard IPsec è unarchitettura per il trasporto sicuro di dati su una rete insicura, usando criptaggio e altri servizi. Può essere impiegato su ogni rete IP anche se è usato principalmente per la costruzione di VPN su Internet.

IPsec7 Che cosè IPsec Lavora a livello Network Layer (Layer 3) e si integra con la rete IP esistente. Questo approccio a livello IP porta diversi vantaggi rispetto alluso di molte tradizionali strategie di sicurezza come link-layer e application-layer encryption.

IPsec8 Vantaggi di IPSec 1. Per trasferire in maniera sicura dati tra due siti, cè bisogno di IPsec solo agli endpoints: la rete in mezzo (Internet ad esempio) non necessita di essere abilitata a IPsec ma basta solo supporti IP (deve solo inoltrare pacchetti IP) [lapproccio link-layer (layer 2) richiede dispositivi di encryption su ogni network link tra i due siti]. 2. Può essere adoperato in maniera trasparente ai client e ai server: non cè bisogno di riconfigurare le applicazioni per lavorare con IPsec [con lapplication-layer encryption ogni programma client deve avere la propria implementazione per la sicurezza e poco si può fare per rendere sicuro un programma che non ha già disponibili servizi quali il criptaggio dei dati].

IPsec9 Vantaggi di IPSec 3. Caricando IPsec sui router o altri dispositivi di rete si semplifica il deployment: i router si occupano di applicare alcuni servizi come lencryption e i client e i server rimangono come sono per un più facile mantenimento. 4. Applicare i servizi IPsec in punti chiave della rete permette di forzare e mantenere una politica di sicurezza consistente in tutta lorganizzazione. 5. IPsec è flessibile: si possono proteggere solo alcuni tipi di traffico lasciando al resto del traffico non segreto di circolare in chiaro per salvare risorse di sistema.

IPsec10 Servizi forniti IPsec non è dunque un protocollo di sicurezza, ma una architettura per la costruzione di comunicazioni sicure su una rete untrusted e fornisce diversi servizi di sicurezza: Confidentiality Integrity Origin authentication Anti-replay

IPsec11 Confidentiality Garantisce la privacy per i dati che devono essere scambiati (solo il destinatario può facilmente leggere i dati). Questa è ottenuta attraverso algoritmi crittografici.

IPsec12 Integrity Integrity (o data integrity) significa garantire che i dati non siano stati alterati durante il trasporto – due parti che stanno comunicando su una rete untrusted devono essere capaci di verificare che i dati ricevuti siano esattamente quelli spediti E ottenuta mediante algoritmi di hash crittografici

IPsec13 Origin authentication Origin Authentication fornisce lassicurazione che la persona con cui si sta comunicando sia veramente chi dice di essere. Si ottiene con firme e certificati digitali.

IPsec14 Anti-replay Anti-Replay assicura che una transazione effettuata non possa essere ripetuta da un attaccante Per IPsec cè IKE (Internet Key Exchange) che fornisce lanti-replay mediante luso di sequence numbers combinati con lautenticazione.

IPsec15 Elementi fondamentali di IPsec Peers Transform Sets Security Associations Transport e Tunnel Modes AH e ESP IKE

IPsec16 Peers Un peer di un device IPsec è un altro device che partecipa ad IPsec. Può essere un router, un firewall, un server o un dispositivo di accesso remoto come un PC con supporto ad IPsec

IPsec17 Transform Set Un Transform Set è una lista di protocolli IPsec e algoritmi crittografici che un peer può accettare. Poiché IPsec permette lutilizzo di diversi protocolli e algoritmi, un peer deve dichiarare e negoziare con gli altri peer quali può supportare. Per poter comunicare quindi due peer devono condividere un comune Transform Set, altrimenti il loro tentativo di comunicazione fallirà.

IPsec18 Transform Set Un transform set generalmente contiene: 1. Un IPsec security protocol (AH o ESP) che è supportato dal peer [è anche possibile usare AH e ESP insieme] 2. Un integrity/authentication algorithm supportato dal peer (ad esempio MD5 HMAC o SHA-1 HMAC) 3. Un algortimo crittografico supportato dal peer (DES o Triple-DES ad esempio) [è anche supportato un null encryption algorithm - cioè si può anche non criptare i dati]

IPsec19 Security Association Una security association (SA) è una connessione logica che protegge il flusso di dati da un peer ad un altro utilizzando un transform set. Le security associations sono come tunnel virtuali tra due peer: il traffico che entra in una SA è protetto e trasportato dallaltra parte (laltro peer). Le SA sono unidirezionali, quindi per una comunicazione bidirezionale sicura tra due peer cè bisogno di due Security Associations

IPsec20 Security Association IPsec mantiene i dati necessari per supportare una SA tra due peer; questi parametri includono: 1. Lindentità del peer remoto che partecipa alla comunicazione con IPsec (indirizzo IP od hostname) 2. Il security protocol (AH o ESP), algoritmo di hashing (se è usato), e lalgoritmo crittografico (se è usato ESP). Queste informazioni sono negoziate quando i peer si scambiano i transform sets 3. La chiave condivisa usata dagli algoritmi di hash e criptaggio per la durata della SA (chiamata lifetime della SA)

IPsec21 Security Association 4. Una descrizione del flusso di traffico protetto dalla SA. Solitamente questo specifica lindirizzo IP e il numero della porta protetta dalla SA. La descrizione può essere più o meno granulare (una singola sessione TCP tra due host o tutto il traffico dalla sottorete X alla sottorete Y, ad esempio) 5. Un numero unico che identifica la SA, chiamato Security Parameter Index (SPI) 6. Timer e contatori che registrano il lifetime di una SA. E usato per determinare quando una SA e le sue chiavi associate diventano vecchie e devono essere aggiornate. 7. I sequence numbers per lindividuazione di attacchi di tipo replay (solo quando IKE viene usato)

IPsec22 IPsec Transport Mode IP headerPayload IPsec header Payload IP header Original Packet Protected Packet IPsec rimuove lheader IP originale, cripta i dati realtivi ai layer OSI più alti, aggiunge in testa il security header appropriato (ESP/AH) e riapplica lheader IP originale. Questa è la tipica soluzione host-to-host VPN

IPsec23 IPsec Transport Mode Il transport mode protegge il traffico tra due IPsec host e non fornisce confidentiality al flusso di traffico. Il volume di traffico trasmesso da un host ad un altro può quindi facilmente essere osservato, anche se viene usato il criptaggio, poiché gli indirizzi sorgente e destinazione originali rimangono intatti. Un attaccante potrebbe quindi usare questa informazione per determinare la locazione dei server, assumendo che i server trasmettano e ricevano molti più dati dei client.

IPsec24 IPsec Tunnel Mode IP headerPayload IP header IPsec headerNew IP header Original Packet Protected Packet A livello di network layer IPsec cripta lintero pacchetto IP originario comprendente lheader IP e il relativo payload, viene creato lheader ESP/AH aggiunto in testa al pacchetto criptato, inoltre viene crato un nuovo Header IP che consente al client di inviare il pacchetto originario al gateway VPN appropriato. Soluzione network-to-network VPN

IPsec25 IPsec Tunnel Mode Con il tunnel mode non è necessario equipaggiare ogni PC e server con IPsec; basta attivare IPsec sui routers e usare tali routers per fornire i servizi IPsec per conto dei vari computers La tunnel mode fornisce la confidentiality del flusso di traffico poiché gli indirizzi IP del pacchetto originale sono trasportati nel payload sicuro di un pacchetto IPsec (supponendo lencryption sia usata).

IPsec26 Authentication Header e Encapsulating Security Payload IPsec definisce due protocolli di sicurezza chiamati Authentication Header (AH – RFC 2402) e Encapsulating Security Payload (ESP – RFC 2406). Ciascun protocollo definisce il proprio formato per lIPsec header che segue lIP header di un pacchetto IPsec. Entrambi usano il concetto di Security Association.

IPsec27 Authentication Header e Encapsulating Security Payload AH fornisce solamente i servizi di autenticazione e integrità ESP fornisce in più la riservatezza Il fatto che esistano due protocolli con funzionalità sovrapposte è dovuto a ragioni storiche connesse allopportunità di avere un protocollo esportabile (restrizioni allesportazione che riguardano il software crittografico)

IPsec28 Internet Key Exchange Il protocollo Internet Key Exchange (IKE – RFC 2409) è un management protocol usato insieme ad Ipsec. IKE agisce nella fase di instaurazione della comunicazione IPsec, e permette di negoziare, creare, distruggere e in generale gestire le SA.

IPsec29 Internet Key Exchange IKE è un importante protocollo che fornisce ad IPsec i seguenti servizi: 1. Stabilisce le IPsec SA dinamicamente quando sono necessarie 2. Abilita il rekeying dinamico 3. Abilita la protezione anti-replay 4. Abilita la origin authentication

IPsec30 IPsec: implementazioni freeware FreeS/WAN (Linux) KAME (FreeBSD, NetBSD) ISAKMPD (OpenBSD)

IPsec31 Bibliografia RFC 2401, 2402, 2406, 2409 (