IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Transkript

1 IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten? 1

2 Agenda Einführung IPSec IKE v1 v2 Zusammenfassung der Unterschiede Fazit Quellen Fragen und Antworten 2

3 IPSec OSI Layer 3 (Network Layer) 2 Modes: Transport Mode Tunnel Mode 3 Protokolle: IKE AH ESP 3

4 Tunnel / Transfer Mode 4

5 IPSec Authentication Header Next Header Payload Len RESERVED Security Parameters Index (SPI) Sequence Number Field + Authentication Data (variable) 5

6 IPSec Encapsulated Security Payload Security Parameters Index (SPI) ^Auth. Cov- Sequence Number erage ---- Payload Data* (variable) ^ ~ ~ Conf Cov- Padding (0-255 bytes) erage* Pad Length Next Header v v Authentication Data (variable) ~ ~ 6

7 SAs (Security Association) Festlegung von Verschlüsselungsverfahren Hashverfahren Authentifizierungsinformationen Diffie-Hellman Gruppe Lifetime IPSec-Policies Identifikation durch Ziel IP SPI Protokoll 7

8 Aufbau einer SA (IKEv1) ! Next Payload! RESERVED! Payload Length!! Domain of Interpretation (IPSEC)! Situation (bitmap)!! Labeled Domain Identifier!! Secrecy Length (in octets)! RESERVED! ~ Secrecy Level ~! Secrecy Cat. Length (in bits)! RESERVED! ~ Secrecy Category Bitmap ~! Integrity Length (in octets)! RESERVED! ~ Integrity Level ~! Integ. Cat. Length (in bits)! RESERVED! ~ Integrity Category Bitmap ~ Security Association Payload Format 8

9 Aufbau einer SA (IKEv2) ! Next Payload!C! RESERVED! Payload Length!!! ~ <Proposals> ~!! Security Association Payload 9

10 Aufbau einer SA - Proposal (IKEv2) ! 0 (last) or 2! RESERVED! Proposal Length!! Proposal #! Protocol ID! SPI Size!# of Transforms! ~ SPI (variable) ~!! ~ <Transforms> ~!! Proposal Substructure 10

11 Aufbau einer SA - Transform (IKEv2) ! 0 (last) or 3! RESERVED! Transform Length!!Transform Type! RESERVED! Transform ID!!! ~ Transform Attributes ~!! Transform Substructure 11

12 Aufbau einer SA Data (IKEv2) !A! Attribute Type! AF=0 Attribute Length!!F!! AF=1 Attribute Value!! AF=0 Attribute Value!! AF=1 Not Transmitted! Data Attributes 12

13 SPD / SAD Security Policy Database Regelwahl für jedes Paket Auswahl anhand Selektoren Apply, discard, bypass Security Association Database äußere IPv4/v6 Adresse IPSec Protokoll: AH oder ESP SPI: 32 Bit zur Unterscheidung von SAs mit gleichem Ziel und gleichem IPSec Protokoll 13

14 Überblick IPSec 14

15 IKE IKEv1 2 Phasen Phase 1 Main Mode Aggressive Mode Phase 2 Quick Mode IKEv2 2 Phasen Phase 1 Phase 2 Quick Mode 15

16 IKEv1: Main Mode - PSK 16

17 IKEv1: Aggressive Mode - PSK 17

18 IKEv1: Main Mode - REM 18

19 IKEv1: Aggressive Mode - REM 19

20 IKEv1: Main Mode - Signed 20

21 IKEv1: Aggressive Mode - Signed 21

22 IKEv1: Main Mode - PKE 22

23 IKEv1: Aggressive Mode - PKE 23

24 IKEv2: IKE_SA_INIT 24

25 IKEv2: IKE_AUTH (ohne EAP) 25

26 IKEv2: CREATE_CHILD_SA 26

27 IKEv2: CREATE_CHILD_SA for Rekeying 27

28 Zusammenfassung der Unterschiede IKEv2 ist in einem einzigen RFC Dokument spezifiziert, IKEv1 wurde in 3 RFCs spezifiziert Zur weitern Vereinfachung wurden die 8 verschieden initialen Austauschverfahren durch einen 4 Nachrichten umfassenden Austausch ersetzt Die "Domain of Interpertation", "Situation" und "Labeld Domain Identifier" wurden entfernt 28

29 Zusammenfassung der Unterschiede (forts.) Um die die Latenz von IKE zu verringern wurde das initiale Austauschverfahren auf 2 round-trips (4 Nachrichten) verkürzt. Des weitern wurde die Fähigkeit hinzugefügt Nachrichten zusammen zu packen (piggyback) Um die Implementierung des Protokolls weiter zu vereinfachen und sicherheitstechnische Analysen leichter durchführen zu können wurde das ersetzen der kryptographischen Syntax der von ESP angenähert 29

30 Zusammenfassung der Unterschiede (forts.) Um die Anzahl der möglichen Fehlerzustände zu verringern wurde das Protokoll zuverlässig (alle Nachrichten werden bestätigt) und Sequenznummern wurden eingeführt. Dies erlaubt den CREATE_CHILD_SA Nachrichtenaustausch von 3 auf 2 Nachrichten zu verkürzen Um die Robustheit (vor allem gegenüber DoS- Angriffen) zu verbessern, muss der Antwortende (Bob) keine signifikante Bearbeitungszeit in eine Verbindung investieren und auch keine States speichern bis der Anrufende sich kryptographisch Authentifiziert hat 30

31 Zusammenfassung der Unterschiede (forts.) Kryptographische Schwächen, wie z.b. die Symmetrie in Hashes für die Authentifizierung, wurden ausgebessert Um "Traffic Selectors" flexibler zu gestalten wurden ein eigener Payload-Typ eingeführt. So muss die ID-Payload nicht überladen werden, wie es in IKEv1 der Fall war Das Fehlerverhalten wurde besser spezifiziert um bei zukünftigen Versionen nicht die Abwertkompatibilität unmöglich zu machen 31

32 Zusammenfassung der Unterschiede (forts.) Zu Vereinfachung und Klarstellung wurde der gemeinsame State im Fehlerfall oder bei DoS-Angriffen definiert Um den Portierungsaufwand bei alten IKEv1 Implementierungen auf IKEv2 so einfach wie möglich zu halten wurden bestehende Syntax und die Magic Numbers erweitert 32

33 Fazit 33

34 Quellen {1} S. Kent, R. Atkinson, "IP Encapsulating Security Payload (ESP)"; RFC 2406, Nov 1998, D. Piper, "The Internet IP Security Domain of Interpretation for ISAKMP"; RFC 2407, Nov 1998, D. Maughan, M. Schertler, M. Schneider, J. Turner, "Internet Security Association and Key Management Protocol (ISAKMP)"; RFC 2408, Nov 1998, D. Harkins, D. Carrel, "The Internet Key Exchange (IKE)"; RFC 2409, Nov 1998, C. Kaufman, "Internet Key Exchange (IKEv2) Protocol"; RFC 4306, Dez 2005, P. Hoffman, "Cryptographic Suites for IPsec"; RFC 4308, Dez 2005, P. Eronen, P. Hoffman, "IKEv2 Clarifications and Implementation Guidelines"; RFC 4718, Okt 2006, 34

35 Quellen {2} "IKEv2 Parameters - per [RFC4306]"; "Internet Key Exchange (IKE) Attributes - per RFC 2409 (IKE)"; H. Soussi, M. Hussain, H. Afifi, D. Seret, "IKEv1 and IKEv2: A Quantitative Analyses"; M. Hussain, I. Hajjeh H. Afifi, D. Seret, "Tri-party IKEv2 in Home Networks"; N. Ferguson, B. Schneier "A Cryptographic Evaluation of IPSec"; 35

36 Quellen {3} R. Perlman, C. Kaufmann, "Key Exchange in IPSec: Analysis of IKE"; IEEE Internet Computing, Vol. 4 Issue: 6, Nov-Dez 2000, umber=&arnumber= A. Steffen, "Leichter tunneln - IPSec-VPNs werden einfacher und flexibler dank IKEv2"; VPN-Tunnelbau-dank-IKEv2--/artikel/ M. Richter, "IPSec - Grundlagen"; darmstadt.de/pages/lehre/ws02-03/seminar/ausarbeitungen/ipseci.pdf R. Kutsch, "Internet Key Exchange"; 36

37 Fragen & Antworten 37