IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli.

Presentazione sul tema: "IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli."— Transcript della presentazione:

1 IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli

2 IPSEC IP Security è uno standard per connessioni basate su reti sicure Progettato per comunicazioni end-to-end(in generale VPN) Garantisce  Autenticazione del mittente  Integrità dei dati  Confidenzialità del contenuto (opzionale)

3 REQUISITI COMUNICAZIONE Creazione chiavi per l’autenticazione Associazione di sicurezza Policy

4 ASSOCIAZIONE DI SICUREZZA Gli indirizzi IP degli host coinvolti nella comunicazione Il protocollo che verrà utilizzato (AH o ESP) Le tecniche per la cifratura utilizzate Un intero a 32 bit chiamato SPI (Security Parameter Index)

5 INTERNET KEY EXCHANGE IKE è un servizio/demone usato per creare dinamicamente SA e gestire il relativo database Protocollo UDP e porta 500 per creare in 3 turni SA in entrambi gli end-point sia per il traffico in entrata sia per quello in uscita Protocollo a 2 fasi:  Si stabilisce la sicurezza del canale fra i due peer  Vengono applicate le SA create per la comunicazione

6 CREAZIONE ASSOCIAZIONE DI SICUREZZA A Header,SA B Header,sa A Header,KEY,Na,[Cert_Req] B Header,KEY,Nb,[Cert] A Header,ID_A,[Cert],firma B Header,ID_B,[Cert],firma A

7 SECURITY POLICY Indirizzo sorgente e indirizzo destinazione del pacchetto Il protocollo e la relativa porta da instradare Un identificativo della SA da utilizzare per proteggere i dati

8 GESTIONE COMUNICAZIONE SPD INTERNET VPN R1 R2 192.168.1.10 192.168.1.11 A B SADB SADB

9 GESTIONE ASSOCIAZIONE DI SICUREZZA Creazione dinamica chiavi tramite IKE Creazione associazioni di sicurezza, una per il traffico in entrata e uno in uscita Pacchetto in uscita: se la SA manca ne viene creata una Pacchetto in uscita: la policy deve permettere l’inoltro del pacchetto Pacchetto in entrata: se la SA manca viene scartato il pachetto Pacchetto in entrata: la policy deve permettere l’inoltro del pacchetto Una volta reperite le SA e le policy vengono portate in cache per processare pacchetti successivi

10 ANTIREPLAY SERVICE Previene il Denial of Service Corrispondenza fra i bit della finestra e i numeri di sequenza dei pacchetti  I pacchetti all’interno della finestra nuovi vengono accettati  I pacchetti a sinistra della finestra o al centro ma già scartati vengono rifiutati  I pacchetti a destar della finestra ne causano lo scorrimento

11 MODALITA’ TRASPORTO Connessione host-to-host Usato solamente dagli end-point Viene cifrato solo il payload del datagramma IP Computazionalmente leggero Software necessario per implementare IPSEC Si aggiunge solo l’header IPSEC

12 MODALITA’ TRASPORTO NET ROUTER SWITCH S1SWITCH S2 A B

13 MODALITA’ TUNNEL Connessione gateway-to-gateway Viene cifrato tutto il pacchetto IP originale Utilizzato per realizzare VPN Computazionalmente oneroso Il software IPSEC necessario solo per i gateway Header del gateway e header IPSEC presenti

14 MODALITA’ TUNNEL INTERNET VPN R1 R2 192.168.1.10 192.168.1.11 A B

15 AUTHENTICATION HEADER Modalità trasporto Modalità tunnel Header IPHeader ahHeader TCPDATI Header IP esterno Header AHHeader IP Header TCP DATI DATI AUTENTICATI

16 FORMATO HEADER Header successivoDimensione payloadRISERVATO Security Parameter Index (SPI) Numero di successione Dati per l’autenticazione (lunghezza variabile) 0123

17 ENCAPSULATING SECURITY PAYLOAD Header IP Header ESP Header TCP DATI Trailer ESP ESP Auth DATI AUTENTICATI Header IP Header ESP Header IP interno Header TCP DATI Trailer ESP Auth DATI AUTENTICATI DATI CRIPTATI

18 FORMATO TRAILER ESP Dati per l’autenticazione (lunghezza variabile) 0123 Dati protetti PaddingLunghezza PAD Prossimo Header

19 GRAZIE PER L’ATTENZIONE