Mit Sicherheit kommunizieren H.235 SRTP

Ähnliche Dokumente
Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Definition von Verschlüsselung

Proseminar Datenschutz in der Anwendungsentwicklung. VoIP und Datenschutz. Junlin Huang Dresden,

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von Simon Knierim & Benjamin Skirlo.

Verschlüsselung von IP Videokonferenzen

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist

VPN Virtual Private Network

High Definition AV Inhaltsschutz für Netzwerkübertragungen

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

VIRTUAL PRIVATE NETWORKS

The Final Nail in WEP`s Coffin

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Videostreaming. Josko Hrvatin DMT. Prof. Dr. Robert Strzebkowski. TFH-Berlin WS 05/06

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Verteilte Systeme Unsicherheit in Verteilten Systemen

Sicherheit in der Netzwerkebene

Verteilte Systeme. Übung 10. Jens Müller-Iden

Modul 3: IPSEC Teil 2 IKEv2

Das Kerberos-Protokoll

VoIP Grundlagen und Risiken

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Sicherheitsdienste in IPv6

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

im DFN Berlin Renate Schroeder, DFN-Verein

Denn es geht um ihr Geld:

... relevante Ports für Streaming bzw. Remote Control!

1. IPsec Verbindung zwischen Gateway und IPsec Client - Host

Vertrauliche Videokonferenzen im Internet

Netzwerktechnologien 3 VO

Netzwerksicherheit mit Hilfe von IPSec

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

IT-Sicherheit Kapitel 10 IPSec

Sicherheit in Wireless LANs

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter.

Reale Nutzung kryptographischer Verfahren in TLS/SSL

Dynamische Verschlüsselung in Wireless LANs

Netze und Protokolle für das Internet

bintec Secure IPSec Client - für professionellen Einsatz bintec Secure IPSec Client

Karlsruher IT-Sicherheitsinitiative April "For your eyes only" Sichere in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

HowTo: Einrichtung von L2TP over IPSec VPN

Secure Socket Layer V.3.0

High Definition AV Inhaltsschutz für Netzwerkübertragungen

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

IT-Sicherheit SSL/TLS. Jens Kubieziel. Fakultät für Mathematik und Informatik. 6. Januar 2012

Beispiel einer WebRTC-Lösung Kerninfrastrukturstandards (DTLS, ICE, Turn etc.) Lars Dietrichkeit innovaphone AG Head of Business Development

Netzwerkperformance 2.0

Sicherheit bei VoIP - Ein Überblick

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Kryptographie im Bereich Embedded Systems

IPSec-VPN mit Software-Client. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3516 August Studerus AG

Konfigurationsanleitung IPsec mit ISDN Backup und statischen IP-Adressen Funkwerk / Bintec

Net4You Internet GmbH. Herausforderung Sicherheit DI Martin Zandonella, CEO

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Streaming Protokolle Jonas Hartmann

Protokollanalyse bei VoIP

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

Seite IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung

IT-Sicherheit Kapitel 13. Sicherheit

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Streaming Media - MPEG-4 mit Linux

Dieses Dokument beschreibt die häufigsten Ursachen für VPN-Verbindungsprobleme.

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

VoIP. Gliederung. 1. Einführung. 3.2Anforderungen 3.3Stand Dinge. 3.3Wie geht es Dinge weiter?

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Grundkurs Routing im Internet mit Übungen

VPN (Virtual Private Network)

Heartbleed Bug (OpenSSL)

Nutzerauthentifizierung mit 802.1X. Torsten Kersting

VPN mit mobilen Clients. Handwerkskammer für Oberfranken Kerschensteinerstraße Bayreuth

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) 1. Bausteine der Datensicherung 2. IPsec 3. Bewertung

VPN: wired and wireless

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007

Sichere Netzwerke mit IPSec. Christian Bockermann

Das Plus an Unternehmenssicherheit

Konfigurationsanleitung IPSec Verbindung mit Provider Backup Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

Sichere Abwicklung von Geschäftsvorgängen im Internet

Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen

VPN: wired and wireless

BinTec X-Generation Router IPSec Security Pack 6.3.4

VPN mit ZyXEL IPSec-Client. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Firmware V2.2x 3.x. August 2012 / ALN

Video over IP / Videostreaming

SIM Application Toolkit basierter Angriff auf mobile Endgeräte durch Hardwaremanipulation an der SIM-Karte

Transkript:

Mit Sicherheit kommunizieren TLS BlueCrypt IPSEC H.235 SRTP Eine Präsentation der DICA Technologies GmbH

Wieviel Sicherheit brauche ich? Sicherheit ist ein Kostenfaktor, Unsicherheit aber auch. Eine einfache Regel Das Sicherheitsniveau sollte im Hinblick auf die zu schützenden Informationswerte eher zu hoch dimensioniert werden. aktuelle Negativbeispiele: HB Gary, SONY PSN und OE

100% sicher? Kommunikation ist angreifbar, zu jeder Zeit, an jedem Ort. Jegliche IP Kommunikation kann einfach aufgezeichnet werden, intern oder extern. Einmal aufgezeichnete Kommunikation wird nur noch durch die Qualität der Verschlüsselung geschützt. Das installierte Sicherheitsniveau steht im direkten Wettbewerb mit dem zu erwartenden Angriffsniveau. Selbst versteckte Kommunikationsnetze, z.b. in VLANs lassen sich mit einfach Mitteln z.b. UCSniff kompromittieren 60% der Angriffe kommen von innen Besonders zu schützende Daten sind deshalb Ende zu Ende zu sichern. Dedizierte Sicherheit ist grundsätzlich zu empfehlen. Es gilt vorausschauend zu schützen.

Sicherheitskonzept Eine gute Verschlüsselung reduziert sich nicht auf AES 256Bit, der Gesamtprozess Kommunikation erfordert mehr Vertraulichkeit = Daten -Sicherheit + -Authentizität + -Integrität Die Basis dafür sind: ein geprüfter Algorithmus mit maximaler Schlüsseltiefe, echte Zufallszahlen eines Hardware Zufallsgenerator, qualitativ hochwertige Schlüssel & deren sichere Aufbewahrung, eine stringente Authentifizierung die Sicherheit der Plattform eine einfache fehlerfreie Handhabung

H.235 Verschlüsselung Stellt eine Basissicherheit dar AES mit 128Bit Schlüssellänge Software Zufallsgenerator begrenzter, nicht erneuerbarer Pool für Sitzungsschlüssel Schlüssel werden im Hauptspeicher (RAM) abgelegt IKE Verfahren, Austausch von Schlüsseln vor jeder Verbindung keine Authentifizierung keine weiteren Sicherheitsmerkmale einfache Handhabung Warum kann eine H.235 (AES-128) Verschlüsselung frei in China angeboten und verkauft werden? Stärkere Verschlüsselung ist nur Joint Ventures erlaubt.

VPN/IPSEC Verschlüsselung Stellt ein mittleres Sicherheitslevel dar AES mit 256Bit Schlüssellänge Software Zufallsgenerator (das schwächste Glied zählt) Pre Shared Keys, Zertifikate zur Authentifizierung Schlüssel werden im Hauptspeicher (RAM) abgelegt IKE Verfahren, Austausch von Schlüsseln vor jeder Verbindung unterschiedliche Authentifizierung, nur EAP-TLS gilt als sicher zusätzliche Sicherheitsmerkmale je nach Umgebung Konfiguration birgt hohes Fehlerpotenzial Die Sicherheitsstufe hängt vom schwächsten Teilnehmer (z.b. Notebook), der Qualität des genutzten Verfahrens und der Authentizität der verwendeten Zertifkate ab.

BlueCrypt Verschlüsselung Stellt ein hohes Sicherheitslevel dar AES mit 256Bit Schlüssellänge Hardware Zufallsgenerator Master Schlüssel als Grundlage für Kommunikationsschlüssel Schlüssel werden im Sicherheitsprozessor abgelegt Kein Schlüsselaustausch, symmetrische Verschlüsselung Authentifizierung über verschiedene Master Schlüssel zentrale Administration und Überwachung Plug & Play Eine kontinuierliche hohe Sicherheitsstufe in homogenen als auch heterogenen Netzwerkstrukturen wird garantiert.

Aufbau und Struktur Audio & Video werden via RTP (Real Time Protocol) übertragen. Um eine Echtzeitübertragung zu gewährleisten müssen RTP Daten via UDP (User Datagram Protocol) übertragen werden. Wichtige Qualitätsfaktoren einer Verschlüsselung sind: ein geringe Eigenverzögerung der Verschlüsselung keine Vergrößerung der Paketlänge und -struktur Schutz der Gesprächs- & Videodaten RTP Schutz der Controldaten RTCP Geringe Fehleranfälligkeit bei Bitfehlern Einfaches Firewall Traversal Erhöht sich die Paketgröße durch die Verschlüsselung, steigt die Verzögerung (z.b. durch Fragmentierung) bei gleichen Rahmenbedingungen entsprechend

Vergleich der Faktoren H.235 VPN/IPSEC BlueCrypt Verzögerung gering hoch, 1-2ms gering, 200-900µs Paketlänge Geringe Vergrößerung Maximal Verdopplung Geringe Vergrößerung Media Daten verschlüsselt verschlüsselt verschlüsselt Control Daten nicht verschlüsselt verschlüsselt verschlüsselt Fehlerkorrektur (Betriebsart) CBC, robust bei Bitfehlern CBC empfohlen CFB, robust bei Bitfehlern Ende zu Ende Keine Probleme Probleme mit Paketfiltern Keine Probleme Firewall Traversal ja nein ja

Vergleich der Paketlänge Dem Vergleich wurde eine Verschlüsselung im 3DES Algorithmus zugrunde gelegt, für den AES Modus ändert sich das Verhältnis der einzelnen Verfahren zueinander nicht. Signifkant ist die Verdopplung der Paketlänge im IPSEC Tunnelmodus.

H.235 Verschlüsselung 2. Session Keys bilden H.225 DH Parameter p, g, A DH Schlüsselberechnung H.225 DH Parameter p, g, B DH Schlüsselberechnung Master! Slave! -> Master or Slave? Ack Slave H.245 Capbility Check Algorithmus! -> H.245 Capbility Check Ack Algorithmus H.245 Session Key -> Session-Key + Algorithmus (3DES, AES 3. Verschlüsselung Ack Session Key Session-Key + Algorithmus (3DES, AES Verschlüsselte Verbindung

IPSEC IKEv1 Agressive Mode Zertifikat anfordern Quell & Zielnetz definieren Modus wählen Parameter für Verschlüsselung & Authentifizierung IPSEC Gerät A (Zertifkat Za 1. Konfiguration Zertifikat wird einmalig angefordert Alle anderen Parameter sind pro Verbindung zu setzen ISAKMP generierter Header ist Voraussetzung für IKE 2. IKE IPSEC Gerät B (Zertifkat Zb Zertifikat anfordern Quell & Zielnetz definieren Modus wählen Parameter für Verschlüsselung & Authentifizierung SA, KE, Na, Idii Cert Za, SIG_a SA, KE, Nb, Idii, cert Zb, SIG_b Hash(1, SA, Na, KE, IDci, IDcr Hash(3 Session-Key + Algorithmus (3DES, AES 3. Verschlüsselung Hash(2, SA, KE, Nb, Idii, SIG_b Session-Key + Algorithmus (3DES, AES Verschlüsselte Verbindung

BlueCrypt Verschlüsselung BlueCrypt A nein ja 1. Makeln BlueCrypt auf der Gegenseite? BlueCrypt B nein ja nein ja Master Key ID s identisch? ja nein Keine Übereinstimmung Übereinstimmung Erzeugung und Versand TVP A (Time Variant Parameter Verschlüsselungsalgorithmus? 2. Session Keys bilden Übereinstimmung Keine TVP A Übereinstimmung TVP B Erzeugung und Versand TVP B (Time Variant Parameter Erzeugung unterschiedlicher Session Keys für Sende- und Empfangsrichtung auf Basis des Master Keys + TVP s Sende- und Empfangs- Session- Key + Algorithmus (3DES, AES 3. Verschlüsselung Verschlüsselte Verbindung Erzeugung unterschiedlicher Session Keys für Sende- und Empfangsrichtung auf Basis des Master Keys + TVP s Sende- und Empfangs- Session- Key + Algorithmus (3DES, AES

Sicherheitsaspekte Verfahren mit Schlüsselaustausch, IPSEC, H.235, sind grundsätzlich anfällig für Man in the Middle Angriffe, ausgenommen mit EAP-TLS Authentifizierung Verschiedene Verfahren sind bekannt um referenzierte Sicherheit (Zertifikate), IPSEC, zu mißbrauchen, z.b Fälschung v. Zertifkaten die hohe Kompatibilität standardisierter Verschlüsselung wie H.235, SRTP ist gleichzeitig auch deren Schwäche Jede auf PCs und Smartphones eingesetzte Verschlüsselung die den integrierten Software Zufallsgenerator nutzt, ist unsicher, da diese Zufallsgeneratoren kompromittiert wurden

Zusammenfassung Audio- und Videodaten erfordern eine angepasste schlanke Ende zu Ende Verschlüsselung in Echtzeit Standardverfahren (VPN) sind aufgrund ihres Aufbaus und ihrer Funktionsweise wenig geeignet H.235 stellt zwar einen komfortablen Basisschutz dar, ist aber nachweislich erfolgreich angreifbar Dedizierte Sicherheit sollte grundsätzlich unabhängig von bereits implementierten Standardverfahren und Sicherheitsreferenzen sein DICA BlueCrypt Lösungen stärken die strategische Sicherheit der Unternehmenskommunikation nachhaltig.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback