Rechnernetze II SS Betriebssysteme / verteilte Systeme Tel.: 0271/ , Büro: H-B 8404

Ähnliche Dokumente
Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Rechnernetze II WS 2013/2014. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Modul 4: IPsec Teil 1

8.2 Vermittlungsschicht

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

3.2 Vermittlungsschicht

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

IPSec und IKE. Richard Wonka 23. Mai 2003

IPsec Hintergrund 1 Überblick

Systeme II 4. Die Vermittlungsschicht

VPN: wired and wireless

Sichere Netzwerke mit IPSec. Christian Bockermann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

VPN: wired and wireless

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IT-Sicherheit Kapitel 10 IPSec

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme -

Virtual Private Networks

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

VPN Virtual Private Network

Sichere Kommunikation mit IPsec

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Sicherheit in der Netzwerkebene

Netze und Protokolle für das Internet

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

Werner Anrath. Inhalt

Workshop: IPSec. 20. Chaos Communication Congress

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Dokumentation über IPSec

P107: VPN Überblick und Auswahlkriterien

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

IPSEC Gruppenarbeit im Fach Kryptografie HTA Horw

Sicherheitsdienste in IPv6

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

GRE-over-IPSEC. -Vortrag 3E02- Werner Anrath. Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik (Stand:

VIRTUAL PRIVATE NETWORKS

Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES.

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Seminar: Konzeptionen von Betriebssystems Komponenten

IT-Sicherheit - Sicherheit vernetzter Systeme -

IPsec. Der Sicherheitsstandard für das Internet. Sicherheit auf Netzebene

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Transportschicht TCP, UDP. Netzzugangsschicht

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) 1. Bausteine der Datensicherung 2. IPsec 3. Bewertung

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) Netzsicherheit Architekturen und Protokolle IP Security (IPsec)

Werner Anrath. Inhalt

Systemsicherheit 12: IPSec

HOBLink VPN Anywhere Client

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

VPN Gateway (Cisco Router)

Domain Name Service (DNS)

Konfiguration eines Lan-to-Lan VPN Tunnels

VPN - Virtuelle Private Netzwerke

3 VPNProtokolle. 3.1 Einleitung

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von Simon Knierim & Benjamin Skirlo.

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

INSTITUT FÜR INFORMATIK DER TECHNISCHEN UNIVERSITÄT MÜNCHEN

Grundlagen der Verschlüsselung und Authentifizierung (1)

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten?

Virtuelle Private Netzwerke in der Anwendung

Virtual Private Network / IPSec

Kryptographie und IT-Sicherheit

Thema: Internet Protokoll Version 6 IPv6 (IPng)

2G04: VPN Überblick und Auswahlkriterien

Sicherheit in Netzen und verteilten Systemen

Peer-to-Peer- Netzwerke

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Einführung in die Netzwerktechnik

Electronic Commerce und Digitale Unterschriften

IPSEC VPNs Theorie und Praxis

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Bibliografische Informationen digitalisiert durch

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

Handout. Holger Christian. Thema: VPN

CISCO VPNs im Einsatz

1. IKEv2 zwischen bintec IPSec Client und Gateway mit Zertifikaten

IPSec-VPN mit Software-Client. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3516 August Studerus AG

Peer-to-Peer- Netzwerke

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN mit mobilen Clients. Handwerkskammer für Oberfranken Kerschensteinerstraße Bayreuth

Konfigurationsbeispiel

Inhaltsverzeichnis. Vorspann 13

Übersicht. Sicherheitsaspekte. Motivation. Begriffe

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Transkript:

Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze II (1/14) i Rechnernetze II SS 2015 5 VPN, IP-Tunnel und IPsec Betriebssysteme / verteilte Systeme Rechnernetze II (7/14) 176

5 VPN, IP-Tunnel und IPsec... Inhalt Virtuelle Private Netze und IP-Tunnel IPsec Tanenbaum, Kap. 5.6.8, 8.6.1 Peterson, Kap. 4.3.5, 8.3.4 Kurose/Ross, Kap. 4.7, 7.8 William Stallings: Cryptography and Network Security, 3rd Edition, Prentice Hall, 2003, Kap. 16 CCNA, Kap. 7 Betriebssysteme / verteilte Systeme Rechnernetze II (7/14) 177 5.1 Virtuelle private Netze (VPN) und IP-Tunnel Zwei private Netzwerke: Firma X: A C Verbindungsleitungen B Standort mit LAN Firma Y: K L M Zwei VPNs: K C L Verbindungs leitungen A M B Virtuelle Leitungen (Firma Y) Betriebssysteme / verteilte Systeme Rechnernetze II (7/14) 178

5.1 Virtuelle private Netze (VPN) und IP-Tunnel... Virtuelle Leitung simuliert eine Layer-2-Verbindung über ein Layer-3-Netz (z.b. Internet) Realisierung von virtuellen Leitungen: Tunnel R1 R2 Netzwerk 1 Internet Netzwerk 2 IP Ziel = 2.2.2.x IP Nutzdaten IP Ziel = 10.0.0.1 GRE IP Ziel = 2.2.2.x IP Nutzdaten Carrier-Protokoll kann ggf. auch fehlen 10.0.0.1 IP Ziel = 2.2.2.x IP Nutzdaten Transport Protocol Carrier Protocol Passenger Protocol Aufgaben u.a. Multiplexing, Authentifizierung, Reihenfolge,... Betriebssysteme / verteilte Systeme Rechnernetze II (7/14) 179 Anmerkungen zu Folie 179: GRE (Generic Routing Encapsulation) ist ein einfaches, unsicheres Tunnel-Protokoll, das von CISCO entwickelt wurde. 179-1

5.1 Virtuelle private Netze (VPN) und IP-Tunnel... Einsatz von Tunneln: spezielle Fähigkeiten von R1, R2 (z.b. Multicast) Kopplung von nicht-ip-netzen über das Internet VPNs: Verschlüsselung und Authentifizierung im Tunnel Arten von VPNs Site-to-site VPN: verbindet z.b. zwei Standorte statisch VPN für interne Hosts nicht sichtbar Realisierung durch Router (VPN Gateways), typ. mit IPsec Remote-access VPN externer Client verbindet sich dynamisch mit VPN Gateway Lösungen über SSL (eingeschränkt) bzw. IPsec Betriebssysteme / verteilte Systeme Rechnernetze II (7/14) 180 5.2 IPsec (Animierte Folie) Vorbemerkung: Welche Schicht sollte Sicherheit implementieren? Vermittlungsschicht + Transparent für Anwendungen + Sicherheitsvorgaben durch Administrator + Erschwert Verkehrsflußanalysen Muß i.a. vom gesamten Netz unterstützt werden Abhören zw. Anwendung und Vermittlungsschicht möglich Anwendungsschicht + Keine Anforderungen an Netzinfrastruktur Schlüsselverwaltung in Anwendungen problematisch Keine Sicherung gegen Verkehrsflußanalysen Betriebssysteme / verteilte Systeme Rechnernetze II (7/14) 181

Rechnernetze II SS 2015 02.06.2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) viii Überblick Ziel: Sichere Übertragung von IP-Paketen Unterstützung optional bei IPv4, vorgeschrieben bei IPv6 Zwei Sicherheitsprotokolle Authentication (AH) Protokoll Encapsulating Security Payload () Protokoll Kombination AH + möglich Zwei Betriebsarten Transport-Modus: Sicherheit für Protokolle über IP keine Vertraulichkeit des IP-s Tunnel-Modus: Sichere Verbindung zwischen zwei Routern Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 182

Tunnel-Modus (mit ) Ermöglicht die Realisierung sicherer VPNs Lokales Netz A Router R1 (Firewall) Internet Tunnel Router R2 (Firewall) Lokales Netz B Im Tunnel: gesamtes IP-Paket verschlüsselt und authentifiziert können nicht gelesen oder verändert werden Quelle und Ziel können nicht ermittelt werden Schutz vor Verkehrsflußanalyse Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 183 Aufbau eines IP-Pakets mit IPsec IP IPsec Weiterleiten der Pakete über normales Internet möglich Aufbau eines IP-Pakets im Tunnel-Modus von IPsec IP R1 > R2 IPsec IP A > B Sicherer Tunnel zwischen Router R1 und R2 Teilnehmer A und B müssen IPsec nicht implementieren Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 184

Security Association (SA, RFC 4301) Unidirektionale Verbindung Fasst Parameter für ein Sicherheitsprotokoll (AH oder ) zusammen, z.b.: Betriebsart (Transport / Tunnel) kryptographische Parameter Chiffren, Schlüssel, Schlüssel-Lebensdauer,... aktuelle Paket-Sequenznummer (für Replay-Schutz) Lebensdauer der SA SA eindeutig identifiziert durch IP-Adresse des Partners, Sicherheitsprotokoll und Security Parameter Index (SPI) mehrere SAs pro Partner möglich Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 185 AH-Protokoll (RFC 4302, 4305, 4835) Authentifiziert das gesamte IP-Paket IP- und Erweiterungs- (außer Felder, die sich bei Übertragung ändern) AH- (außer Authentifizierungsdatenfeld) Nutzdaten des IP-Pakets Aufbau des AH-s: Next Len Reserviert Security Parameter Index (SPI) Sequenznummer Authentifizierungsdaten variabler Länge ( = HMAC Wert) Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 186

AH-Protokoll... SPI: zur Idenitifizierung der Security Association (SA) Sequenznummer dient zur Abwehr von Replay HMAC = auf Hashfunktion basierender MAC (Message Authentication Code) sichert Authentizität und Integrität HMAC(M,K) = H(K opad H(K ipad M)) ipad = 0011 0110... 0011 0110 2 opad = 0101 1010... 0101 1010 2 Verschiedene Hashfunktionen möglich jede IPsec-Implementierung muß SHA1-96 unterstützen (SHA1 reduziert auf 96 Bit Länge) Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 187 -Protokoll (RFC 4303, 4305, 4835) Verschlüsselung und Authentifizierung des teils eines IP-Pakets Authentifizierung ist optional Verschiedene Verschlüsselungsverfahren möglich Jede IPsec-Implementierung muß unterstützen: TripleDES im CBC-Modus zum Verschlüsseln Blockchiffre: arbeitet auf 64-Bit-Blöcken CBC (Cipher Block Chaining): Chiffrecodes der einzelnen blöcke hängen voneinander ab seit 2007: AES-CBC zum Verschlüsseln HMAC-SHA1-96 zur Authentifizierung Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 188

Paketformat beim -Protokoll teil Trailer Security Parameter Index (SPI) Sequenznummer (evtl. Initialisierungsvektor für CBC) Nutzdaten (variable Länge) Padding (0...255 Bytes) Pad Länge Next Authentifizierungsdaten variabler Länge ( = HMAC Wert) verschlüsselt authentifiziert Padding wegen Verwendung von Blockchiffren Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 189 Zusammenfassung: Paketformate (mit IPv6) Ohne IPsec: orig. IP o. Ext. TCP AH/Transport: orig. IP o. Ext. AH TCP AH/Tunnel: neuer IP neue Ext. AH orig. IP o. Ext. TCP /Transport: orig. IP o. Ext. Hdr. TCP Trail. Auth. Tunnel: neuer IP neue Ext. Hdr. orig. IP o. Ext. TCP Trail. Auth. Authentifiziert, bis auf veränderliche Teile der orig. IP/Ext. Authentifiziert, bis auf veränderliche Teile der neuen IP/Ext. Authentifiziert Verschlüsselt Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 190

Zusammenfassung: Betriebsarten und Protokolle Protokoll: AH Betriebsart: Transp. Tunn. Transp. Tunn. Verschlüssel. orig. IP- + Authentifiz. orig. IP- + + (+) Verschlüsselung Nutzdaten + + Authentifizierung Nutzdaten + + (+) (+) End-to-End Sicherheit + + Kombinationen (Verschachtelung) möglich! z.b. AH im Transport-Modus über Tunnel Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 191 Konfiguration von IPsec: Strategie-bank Jeder IPsec-Knoten enthält eine Strategie-bank (Security Policy Database, SPD) SPD legt für jede ein- und ausgehende Verbindung fest, wie Pakete zu behandeln sind: unverschlüsselte Weiterleitung Verwerfen Anwendung von IPsec Verschlüsselung und/oder Authentifizierung Sicherheits-Parameter (Chiffren, Schlüssellänge / -lebensdauer, Tunnel- / Transportmodus,...) Nutzung / Erzeugung einer Security Association (SA) Analog zu Filtertabellen in Firewalls Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 192

Beispieleintrag in Strategie-bank src: 192.168.2.1-192.168.2.10 dest: 192.168.3.1 ipsec-action: esp req cipher des3 integrity hmacmd5 keylen 128 expiry (seconds) 60 transport ah req integrity hmacsha1 keylen 160 expiry (seconds) 60 tunnel Verschlüsselung/Authentifizierung der durch im Transport-Modus Zusätzlich Authentifizierung des Gesamtpakets durch AH im Tunnel-Modus Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 193 Anmerkungen zu Folie 193: Das Beispiel auf der Folie soll lediglich andeuten, welche Information in den IPsec- Knoten gespeichert werden muss, soll aber keine konkrete Syntax vorstellen. Eine konkrete Konfiguration für IPsec im Tunnel-Modus auf einem Cisco-Router kann wie folgt aussehen (die zusätzlich notwendige Konfiguration des eigentlichen Tunnels ist ausgelassen): Erstellen einer ACL für die mit IPsec zu übertragenden Pakete: R1(config)# access-list 102 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.3.255 Im Beispiel sind dies alle IP-Pakete von 10.0.0.0/8 nach 172.16.0.0/22. Festlegung einer Policy für Authentifikation und Schlüsselaustausch: R1(config)# crypto isakmp policy 1 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption aes R1(config-isakmp)# group 5 R1(config-isakmp)# exit R1(config)# crypto isakmp key!secret! address 64.100.13.2 Im Beispiel wird ein Pre-shared Key verwendet. Zum Schlüsselaustausch wird Diffie-Hellman Gruppe 5 (1536-bit Schlüssel) und AES verwendet. 193-1

Konfiguration der IPsec Protokolle: R1(config)# crypto ipsec transform-set MySet esp-aes esp-sha-hmac In diesem Fall wird mit AES-Verschlüsselung und HMAC-SHA1-Authentifizierung verwendet. Verbindung der ACL mit der IPsec-Konfiguration: R1(config)# crypto map MyMap 2 ipsec-isakmp R1(config-crypto-map)# set peer 64.100.13.2 R1(config-crypto-map)# set transform-set MySet R1(config-crypto-map)# match address 102 R1(config-crypto-map)# exit Hier wird die Verbindung zwischen der ACL mit der Nummer 102, der IPsec- Konfiguration MySet und dem Partner-Host 64.100.13.2 hergestellt. Anwendung der Einstellungen auf eine ausgehende Schnittstelle: R1(config)# interface S0/0/0 R1(config-if)# crypto map MyMap 193-2 Verbindungsaufbau (Beispiel) 1. Paket soll gesendet werden 2. Nachsehen in Strategie-bank: noch keine SA vorhanden 3. Erzeugen einer oder mehrerer SAs durch Internet Security Association and Key Management Protocol (ISAKMP) wechselseitige Authentifizierung mit Schlüsselaustausch Internet Key Exchange Protokoll (IKE, RFC 4306) alternativ: Pre-shared Keys Aushandeln der Sicherheitsattribute 4. Speichern der SA Löschung nach Ablauf der Lebensdauer 5. Senden des Pakets Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 194

Bewertung Keine Verbindlichkeit (digitale Unterschrift) Schwierige Konfiguration (Strategie-bank) IP ist verbindungsloses Protokoll Integrität zunächst nur für einzelne Pakete garantiert Zusatzmechanismen (Sequenznr., Anti-Replay-Fenster) IPsec erlaubt hostbasierte Schlüsselvergabe selber Schlüssel für alle Verbindungen zw. zwei Rechnern eröffnet Angriffsmöglichkeiten nutze einen Rechner als Entschlüsselungsdienst IPsec derzeit v.a. für sichere Tunnels (VPNs) eingesetzt Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 195 5.3 Zusammenfassung / Wiederholung VPN Verschlüsselter Tunnel IPsec Sicherheit auf der Vermittlungsschicht Zwei Protokolle: AH: Authentizität für gesamtes IP-Paket : Authentizität und/oder Vertraulichkeit für Nutzdaten Tunnel-Modus: auch Original-IP- verschlüsselt Basis für Kommunikation: Security Association (SA) unidirektionale Verbindung, legt Sicherheitsparameter fest Erzeugung der SA über ISAKMP / IKE incl. Schlüsselaustausch und Partner-Authentifizierung Betriebssysteme / verteilte Systeme Rechnernetze II (8/14) 196

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback