- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

Ähnliche Dokumente
IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

IPSec und IKE. Richard Wonka 23. Mai 2003

Modul 4: IPsec Teil 1

8.2 Vermittlungsschicht

3.2 Vermittlungsschicht

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

IPsec Hintergrund 1 Überblick

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Sichere Kommunikation mit IPsec

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Virtual Private Networks

IPSEC Gruppenarbeit im Fach Kryptografie HTA Horw

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IT-Sicherheit Kapitel 10 IPSec

Seminar: Konzeptionen von Betriebssystems Komponenten

VIRTUAL PRIVATE NETWORKS

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Systemsicherheit 12: IPSec

VPN: wired and wireless

Systeme II 4. Die Vermittlungsschicht

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

VPN: wired and wireless

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Sicherheit in der Netzwerkebene

VPN Virtual Private Network

Rechnernetze II SS Betriebssysteme / verteilte Systeme Tel.: 0271/ , Büro: H-B 8404

Sichere Netzwerke mit IPSec. Christian Bockermann

Netze und Protokolle für das Internet

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Sicherheit in Netzen und verteilten Systemen

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

IT-Sicherheit - Sicherheit vernetzter Systeme -

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten?

Multicast Security Group Key Management Architecture (MSEC GKMArch)

VPN: Virtual-Private-Networks

Inhaltsverzeichnis. I Grundlagen der Datensicherheitstechnik 1

VPN - Virtuelle Private Netzwerke

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Workshop: IPSec. 20. Chaos Communication Congress

IPSec Architektur und Protokolle, Internet Key Exchange (IKE)

6-2. Sicherheit in Netzen u. verteilten Systemen Kapitel 6: Anwendungen u. Protokolle. Vertraulichkeit im WWW. IBR, TU Braunschweig

Rechnernetze II WS 2013/2014. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Dokumentation über IPSec

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

P107: VPN Überblick und Auswahlkriterien

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

Domain Name Service (DNS)

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Sicherheitsdienste in IPv6

Einführung in die Netzwerktechnik

Peer-to-Peer- Netzwerke

APM3 - OpenS/WAN 1. IPSec mit. Version Betriebssystem: Debian Sarge Testing Kernel: von Alexander Parret WS 2005/05. Fach: APM3 FH-Worms

IPSec und IKE Eine Einführung

Mobility Support by HIP

3 VPNProtokolle. 3.1 Einleitung

IPsec. Der Sicherheitsstandard für das Internet. Sicherheit auf Netzebene

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

IT-Sicherheit - Sicherheit vernetzter Systeme -

Themen. Transportschicht. Internet TCP/UDP. Stefan Szalowski Rechnernetze Transportschicht

Thema: Internet Protokoll Version 6 IPv6 (IPng)

Dr. Thomas P. Ruhroth

Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES.

Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

Überblick. Fragmentierung IPv4. IPv6 IPsec. Aufbau ICMP Adress Auflösung

Secure Real-time Communication

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) 1. Bausteine der Datensicherung 2. IPsec 3. Bewertung

Sicherheitsmanagement in TCP/IP-Netzen

Eine Einführung in IPv6 und IPsec

Transportschicht TCP, UDP. Netzzugangsschicht

Distributed Systems Klausur Sichere Verteilte Systeme SS 2010

Ethernet-Security am Beispiel SOME/IP

Lösung von Übungsblatt 10. (Router, Layer-3-Switch, Gateway)

NCP Exclusive Remote Access Client (ios) Release Notes

Netzsicherheit 14: IPSec

Modul 3: IPSEC Teil 2 IKEv2

Die Rolle von VPNs für eine sichere externe Unternehmenskommunikation

Grundlagen Migration. MMS, vgl. Mobile

NCP Exclusive Remote Access Client (ios) Release Notes

VPN Gateway (Cisco Router)

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

IT-Sicherheit - Sicherheit vernetzter Systeme -

2017 achelos. Benjamin Eikel

FAQ zur Kommunikation

Systemsicherheit 4: Wireless LAN

Virtuelle Private Netzwerke in der Anwendung

Mit Sicherheit kommunizieren H.235 SRTP

Werner Anrath. Inhalt

Transkript:

Netzsicherheit SS 2003 IPSec Benedikt Gierlichs gierlichs@itsc.rub.de Marcel Selhorst selhorst@crypto.rub.de Lehrstuhl für Kommunikationssicherheit Betreuer: Ahmad-Reza Sadeghi Benedikt Gierlichs IPSec Marcel Selhorst

- Gliederung - 1. Motivation 2. Grundlagen der IP-Sicherheit 3. Die Funktionalität von IPSec 4. Selektoren, SPI, SPD 5. Sicherheitsassoziationen (SA, SADB, ISAKMP) 6. Modi 7. Authentication Header / Encapsulated Security Payload 8. Die Sicherheit von IPSec 9. RFCs Benedikt Gierlichs IPSec Marcel Selhorst - 2 -

- Motivation - IPv4 stellt IP-Pakete nur zu Internetwachstum wirft 2 Probleme auf: Zu kleiner Adressraum (32bit) Keine Sicherheitsaspekte berücksichtigt Planung von IPv6 Größerer Adressraum (128bit) Standardmäßig eingebaute IP-Sicherheit IPSec 1992: IETF Arbeitsgruppe 1995: erste RFCs 1998: überarbeitete RFCs Benedikt Gierlichs IPSec Marcel Selhorst - 3 -

- Schutzziele (allgemein) - Vertraulichkeit Zugang zu Daten nur für Befugte Integrität Authentifizierung Verbindlichkeit Manipulation der Daten während der Übertragung muss erkennbar sein Quelle ist diejenige, die sie zu sein vorgibt Empfänger kann beweisen, die Nachricht vom Sender erhalten zu haben Verfügbarkeit System muss zu einem vorgegebenen Zeitpunkt in einem funktionsfähigen Zustand sein Benedikt Gierlichs IPSec Marcel Selhorst - 4 -

- Einordnung in den TCP/IP-Stapel - Netzwerknutzdaten Datenübertragungsnutzdaten Host A Router A Anwendungsdaten Transportnutzdaten Datenübertragungsschicht Netzwerkschicht Datenübertragungsschicht Netzwerkschicht Datenübertragungsschicht Router B Anwendungsschicht Transportschicht Netzwerkschicht Datenübertragungsschicht Anwendungsschicht Transportschicht Netzwerkschicht Host B Benedikt Gierlichs IPSec Marcel Selhorst - 5 -

- Einordnung in den TCP/IP-Stapel - Einbettung von Sicherheit in welche Schicht? Anwendungsschicht: Nein, Transportschicht: Netzwerkschicht: Datenübertragungsschicht: umfangreiche Modifikationen an jeder Anwendung erforderlich Nein, gibt es als Transport Layer Security (TLS), allerdings anderer Kontext (Anwendung/Nutzer) Ja, da nur geringfügige Änderungen am TCP/IP- Stapel nötig und größtmöglicher Sicherheitsumfang Nein, da sie nur für physikalische Verbindung zwischen zwei Hosts in Frage kommt Benedikt Gierlichs IPSec Marcel Selhorst - 6 -

- Die Funktionalität von IPSec - IP Charakteristika Sicherheitsrichtlinien-Datenbank IP 0 Netzwerkschicht Sicherheitsassoziations-DB SA Management oder manuelle Eingaben Regelwerk ~~~~~~~~ ~~~~~~~~ Verschlüsselung Authentifizierung Hash-Werte Netzwerkschicht Modus Protokoll kryptograph. Mechanismen IPSec Benedikt Gierlichs IPSec Marcel Selhorst - 7 -

- Selektoren, SPI, SPD - Charakteristika: Quelle: Selektoren Quell- und Ziel-IP-Adresse evtl.transportprotokoll evtl. Quell- und Zielport Ziel: SPI ( Security Parameter Index ) wird im IPSec-Header übertragen und ist pro Paket eindeutig SPD (Security Parameter Index): - entscheidet anhand der Charakteristika ob discard, bypass oder apply Benedikt Gierlichs IPSec Marcel Selhorst - 8 -

- Sicherheitsassoziation - Sicherheitsassoziation: stellt Vertrag zwischen Hosts dar legt Modus und Sicherheitsstufe fest unidirektional, pro Verbindung und Richtung eine SA notwendig manuell erstellt / gelöscht oder dynamisch mittels ISAKMP / IKE Sicherheitsassoziationsdatenbank: speichert die SAs ISAKMP / IKE (Internet Security Association & Key Management Protocol /Internet Key Exchange): Verwaltung der Sicherheitsassoziationen Schlüsselverwaltung bei Bedarf: Unterprotokoll für Schlüsselaushandlung, z.b. IKE Benedikt Gierlichs IPSec Marcel Selhorst - 9 -

- Die Funktionalität von IPSec, blackbox - IP Charakteristika Sicherheitsrichtlinien-Datenbank IP 0 Netzwerkschicht Sicherheitsassoziations-DB SA Management oder manuelle Eingaben Regelwerk ~~~~~~~~ ~~~~~~~~ Verschlüsselung Authentifizierung Hashing Netzwerkschicht Modus Protokoll kryptograph. Mechanismen IPSec Benedikt Gierlichs IPSec Marcel Selhorst - 10 -

- Modi - - Transport Modus (Host) - Kommunikationsendpunkt = IPSec-Endpunkt Host A Router C Router D Host B - Tunnel Modus (Gateway) - Kommunikationsendpunkt IPSec-Endpunkt Host A Router C Router D Host B Benedikt Gierlichs IPSec Marcel Selhorst - 11 -

- Modi - Benedikt Gierlichs IPSec Marcel Selhorst - 12 -

- Modi, Vergleich - Transportmodus: Ziel ist ein Host Ende zu Ende Nur Daten aus oberen Schichten geschützt IP-Header unverändert, ungeschützt Tunnelmodus: Ziel ist ein Gateway Verbindung Neuer IP-Header bis zum Ende des Tunnels Komplettes Original-IP-Paket wird verkapselt Schutz des Headers (Integrität, Auth., Verschl.) Anonymisierung der Quell- und Zieladresse Benedikt Gierlichs IPSec Marcel Selhorst - 13 -

- Encapsulated Security Payload - Sicherheitsdienste: Verschlüsselung Authentifizierung der Datenquelle Integrität der Daten Original-Paket wird verschlüsselt und in ein Neues eingepackt von ESP-Header und ESP-Trailer umfasst Schutz vor Replay-Attacken durch Seriennummern Benedikt Gierlichs IPSec Marcel Selhorst - 14 -

- ESP im Tunnel-Modus - Benedikt Gierlichs IPSec Marcel Selhorst - 15 -

- ESP im Transport-Modus - Benedikt Gierlichs IPSec Marcel Selhorst - 16 -

- Authentication Header - Sicherheitsdienste: Authentifizierung der Datenquelle Integrität der Daten Original-Paket wird um AH-Header erweitert Benedikt Gierlichs IPSec Marcel Selhorst - 17 -

- AH im Tunnel-Modus - Benedikt Gierlichs IPSec Marcel Selhorst - 18 -

- AH im Transport-Modus - Benedikt Gierlichs IPSec Marcel Selhorst - 19 -

- ESP vs. AH - ESP bietet Vertraulichkeit durch Verschlüsselung AH fügt lediglich AH-Header ein, geringerer Overhead als bei ESP Beide bieten Authentifizierung der Datenquelle und Integrität Benedikt Gierlichs IPSec Marcel Selhorst - 20 -

- Varianten - ESP und AH können kombiniert werden Jeweils eine SA erforderlich: SA-Bundle SAs im Bundle können unterschiedliche Endpunkte haben Viele Kombinationen möglich, Beispiele: AH (ESP(Original-Paket)): Authentifizierung berücksichtigt mehr Felder ESP(AH(Original-Paket)): Authentifiziert den Quelltext Benedikt Gierlichs IPSec Marcel Selhorst - 21 -

- Sicherheit / Zukunft - - Nach Schneier / Ferguson das momentan beste verfügbare IP-Sicherheits-Protokoll - Auf Grund zu vieler Optionen / Flexibilität zu komplex Komplexität vs. Sicherheit! (Komitee-Arbeit) - Zu viele Modi AH und Transport-Modus überflüssig - Durch symm. Krypto. und CBC schnell und sicher - Austauschbare Algorithmen für Zukunft - Gute Zukunftschancen wg. Multicast, PCP usw. Benedikt Gierlichs IPSec Marcel Selhorst - 22 -

- RFCs - 2401: Security Architecture for the Internet Protocol 2402: IP Authentication Header 2406: IP Encapsulating Security Payload 2408: ISAKMP 2409: IKE Weitere auf http://www.ietf.org/html.charters/ipsec-charter.html Danke für die Aufmerksamkeit! Benedikt Gierlichs IPSec Marcel Selhorst - 23 -

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback