IT-Sicherheit - Sicherheit vernetzter Systeme -

Ähnliche Dokumente
IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme -

Modul 3: IPSEC Teil 2 IKEv2

Modul 4: IPsec Teil 1

Modul 3: IPSEC Teil 2 IKEv2

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

IPSec und IKE. Richard Wonka 23. Mai 2003

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

8.2 Vermittlungsschicht

3.2 Vermittlungsschicht

IPsec Hintergrund 1 Überblick

VPN: wired and wireless

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN: wired and wireless

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

Kryptographische Verfahren: Empfehlungen und Schlüssellängen

Transportschicht TCP, UDP. Netzzugangsschicht

Netze und Protokolle für das Internet

IT-Sicherheit Kapitel 10 IPSec

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

IPSEC Gruppenarbeit im Fach Kryptografie HTA Horw

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IT-Sicherheit - Sicherheit vernetzter Systeme -

VPN Virtual Private Network

Virtual Private Networks

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) 1. Bausteine der Datensicherung 2. IPsec 3. Bewertung

Systemsicherheit 12: IPSec

NCP Exclusive Remote Access Client (ios) Release Notes

Ethernet-Security am Beispiel SOME/IP

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Sicherheitsdienste in IPv6

NCP Secure Entry macos Client Release Notes

NCP Exclusive Remote Access Client (ios) Release Notes

Sicherheit in der Netzwerkebene

Sicherheitsrisiken bei WLAN

Kapitel 6: Netzwerk-Sicherheit

VIRTUAL PRIVATE NETWORKS

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) Netzsicherheit Architekturen und Protokolle IP Security (IPsec)

Sichere Netzwerke mit IPSec. Christian Bockermann

Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES.

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten?

Virtual Private Networks Hohe Sicherheit wird bezahlbar

NCP Secure Enterprise Client (ios) Release Notes

Rechnernetze II SS Betriebssysteme / verteilte Systeme Tel.: 0271/ , Büro: H-B 8404

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Kryptographie und IT-Sicherheit

Proseminar Schlüsselaustausch (Diffie - Hellman)

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

NCP Secure Enterprise Client (ios) Release Notes

Virtuelle Private Netzwerke in der Anwendung

NCP Secure Enterprise Client (ios) Release Notes

3 VPNProtokolle. 3.1 Einleitung

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Workshop: IPSec. 20. Chaos Communication Congress

NCP Secure Enterprise Client (ios) Release Notes

Sicherheit in Netzen und verteilten Systemen

IT-Sicherheit Kapitel 7 Schlüsseletablierung

Vertrauliche Videokonferenzen im Internet

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Denn es geh t um ihr Geld: Kryptographie

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

NCP Secure Entry macos Client Release Notes

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung

IPSec mit Kernel 2.6. Tchatchueng William Internet Architektur, Protokolle und Management - IPSec mit Kernel 2.6

Kryptographie. Nachricht

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

6-2. Sicherheit in Netzen u. verteilten Systemen Kapitel 6: Anwendungen u. Protokolle. Vertraulichkeit im WWW. IBR, TU Braunschweig

Knowledge Base IPSec-Tunnel zwischen Fortigate und Draytek Vigor

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Vorlesung Sicherheit

Multicast Security Group Key Management Architecture (MSEC GKMArch)

2 Netzwerksicherheit und Kryptographie. Jan Jürjens: Modellbasierte Softwaretechniken für sichere Systeme 1

Dr. Thomas P. Ruhroth

P107: VPN Überblick und Auswahlkriterien

Sicherheit bei WiMAX Analyse, Bewertung und Vergleich von IEEE d und IEEE e

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

WLAN-Technologien an der HU

NCP Secure Enterprise macos Client Release Notes

Ein Überblick über Security-Setups von E-Banking Websites

Kryptographie und Komplexität

Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen

VP WAP Kryptographie

Transkript:

IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 11: Netzsicherheit - Schicht 3: Network Layer 1 Schwächen des IP Protocolls Inhalt IPSec Sicherheitserweiterung des IP-Protokolls Authentication Header (AH) Encapsulation Security Payload (ESP) Anwendungsbeispiele Schlüsselverteilung mit IKEv2 (Internet Key Exchange) Aufbau einer IKE SA Authentisierung der Partner Aufbau der IPSec SA Erzeugung von Schlüsselmaterial 2

Vertraulichkeit: Mithören einfach möglich Man-in-the-middle Attack Verkehrsflußanalyse Integrität: IP: Gefahren und Schwächen Veränderung der Daten Session Hijacking Replay Angriffe Authentisierung: IP-Spoofing Lösung: IPSec (Sicherheitserweiterungen für IP) Integraler Bestandteil von IPv6 Als Erweiterungs-Header auch in IPv4 einsetzbar 3 IPSec Standards IPSec-Architecture RFC 4301 Authentication-Header (AH) RFC 4302 Encapsulation Security Payload (ESP) RFC 4303 Crypto Algorithms RFC 4305 Key Management Internet Key Exchange (IKEv2); RFC 4306 Crypto Algorithms RFC 4307 4

IPSec Überblick IP Authentication Header (AH) Integrität des verbindungslosen Verkehrs Authentisierung des Datenursprungs (genauer des IP Headers) Optional: Anti-Replay Dienst IP Encapsulation Security Payload (ESP) Vertraulichkeit (eingeschränkt auch für den Verkehrsfluss) Integrität Authentisierung (der Security Association) Anti-Replay Dienst Jeweils zwei verschiedene Betriebsmodi: Transport Mode Tunnel Mode 5 AH im Transport Mode Authentication Header (AH) IP-Header AH-Header... SPI Sequ.-Nr. ICV Daten Authentisierungsschlüssel z.b. HMAC-MD5 Integrität durch MAC Authentisierung durch gemeinsamen Schlüssel Anti-Replay durch gesicherte Sequenznummer AH im Tunnel Mode IP-Header 2 AH Header IP Header 1 Daten 6

Bit AH Header 0 7 15 31 Next Header Payload Length Reserved Security Parameter Index (SPI) Sequence Number Integrity Check Value (ICV) (variable Länge) 7 AH Outbound Processing IP Stack hat ausgehendes Packet zu verarbeiten: 8

AH Outbound Processing 2 9 AH Inbound Processing 10

Encapsulation Security Payload (ESP) ESP Transport Mode verschlüsselt IP- Header ESP-Header SPI... Sequ-Nr. Daten ESP- Trailer (Padding) Authentication Data z.b. Authentisierungsschlüssel HMAC-SHA1 Vertraulichkeit durch Verschlüsselung Integrität durch MAC (optional) Authentisierung durch HMAC (optional) Anti-Replay durch gesicherte Sequenznummer (optional) ESP Tunnel Mode IP Header 2 ESP Header IP Header 1 Daten ESP Trailer Auth. Data Anti-Traffic Analysis durch verschlüsselten IP Header 1 11 ESP Header Bit 0 7 15 23 31 Security Parameter Index (SPI) Sequence Number Payload Data (variable); protected Padding (0-255 bytes) Pad Length Next Header Integrity Check Value (ICV) 12

ESP Outbound Processing 13 ESP Inbound Processing 14

IPSec Replay Protection Empfänger verwaltet Window für empfangene Packete Ursprünglich als Mechanismus um Überfluten des Empfängers zu vermeiden nicht größer als 32 Bit Grundprinzip: Sliding Window empfangener Packete 0 0 1 1 1 1 1 1 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Replay 15 IPSec Replay Protection ESN Extended Sequence Number (ESN) Scheme: 64 Bit lange Sequenznummern Nur niederwertigensten 32 Bit werden in jedem Packet übertragen W 32 Window Größe T 64 Höchste bisher authensisierte Sequenznummer Tl 32 Niederwertige Bits von T Th 32 Höherwertige Bits von T B 64 Untere Schranke des Window Bl 32 Niederwertige Bits von B Bh 32 Höherwertige Bits von B Seq 64 Sequenznummer des empfangenen Paketes Seql 32 Niederwertige Bits von Seq Seqh 32 Höherwertige Bits von Seq 16

RFC 4305 AH, ESP Algorithmen ESP Encryption AES 3DES DES (Should Not)! ESP und AH Authentication HMAC-SHA1-96 AES-XCBC-MAC-96 HMAC-MD5-96 17 IPSec Anwendungsszenarien AH und ESP können kombiniert verwendet werden Auch Tunnel und Transport Mode können kombiniert werden Mögliche Einsatzszenarien Kopplung von verschiedenen Unternehmensstandorten Verbindung von Security Gateway (SGW) zu Security Gateway SGW SGW Telearbeitsplätze; Remote Access ( Road Warrior ) Endsystem zu SGW SGW End-to-End 18

Szenario Standortvernetzung Standort A Standort B SGW Internet SGW Mögliche Anforderungen: Authentisierung SGW-to-SGW oder End-to-End Integritätssicherung SGW-to-SGW oder End-to-End Anti-Replay Vertraulichkeit auch im internen Netz SGW realisiert auch FW Funktionen Verwendung privater IP-Adressen in den Standorten Verschattung interner Netzstrukturen 19 Protokollkombinationen AH Tunnel Mode am Security Gateway Integritätssicherung Authentisierung SGW to SGW Private Adressen im internen Netz ESP Tunnel Mode am Security Gateway Vertraulichkeit (auch der privaten Adressen) AH Transport am Endsystem / ESP Transport am SGW Integritätssicherung Authentisierung End to End Vertraulichkeit ab SGW Private Adressen nicht möglich Nur theoretische Kombination; praktisch schwer realisierbar (Empfänger SGW nicht addressierbar) IP Header ESP Header AH Header Daten ESP Trailer 20

Protokollkombinationen (2) ESP Transport am Endsystem, AH Transport am SGW Vertraulichkeit End to End Authentisierung SGW to SGW Private Adressen nicht möglich SGW kann nicht mehr filtern (wegen Verschlüsselung) Theoretisches Beispiel, in der Praxis schwer realisierbar, SGW nicht adressiert (transparentes SGW) IP Header AH Header ESP Header Daten ESP Trailer AH Transport am Endsystem / ESP Tunnel am SGW Integritätssicherung Authentisierung End to End Vertraulichkeit ab SGW Private Adressen möglich IP Header 2 ESP Header IP Header 1 AH Header Daten ESP Trailer 21 Inhalt einer SA IPSec Security Association (SA) IPSec Protocoll Modus (Tunnel oder Transport) Parameter (Algorithmen, Schlüssel, Initialisierungsvektor,...) Lebensdauer der SA Sequenznummernzähler mit Overflow Anti-Replay-Window... Identifikation einer SA: Security Parameter Index (SPI); 32 Bit Zahl Ziel-Adresse Verwendetes Protocol (AH, ESP) D.h. in jede Richtung wird eine eigene SA vereinbart Jeder IPSec Teilnehmer hält eine Security Policy Database (SPD) mit SAs 22

Schwächen des IP Protocolls Inhalt IPSec Sicherheitserweiterung des IP-Protokolls Authentication Header (AH) Encapsulation Security Payload (ESP) Anwendungsbeispiele Schlüsselverteilung mit IKEv2 (Internet Key Exchange) Aufbau einer IKE SA Authentisierung der Partner Aufbau der IPSec SA Erzeugung von Schlüsselmaterial 23 Einschub: Diffie-Hellman Schlüsselaustausch Ermöglicht den sicheren Austausch eines Schlüssels über einen unsicheren Kanal: Primzahl p und eine primitive Wurzel g (mod p) dürfen öffentlich bekannt gemacht werden (oft als Diffie-Hellman Group bezeichnet) Alice wählt ein x aus [1..p-1] Bob wählt ein y aus [1..p-1] Alice schickt A = g x mod p an Bob Bob schickt B = g y mod p an Alice Beide verwenden den folgenden Schlüssel: 24

IPSec Schlüsselaustausch über IKEv2 Protokollprimitive 1. IKE_INIT Aufbau einer IKE SA 2. IKE_AUTH Authentisierung der Partner Aufbau der ersten (und oft einzigen) IPSec SA 3. IKE_CHILD_SA weitere IPSec SA Re-Keying einer bestehenden SA Ein Kanal etabliert durch IKE_AUTH kann für mehrere IKE_CHILD_SA Exchanges verwendet werden Erzeugung des Schlüsselmaterials Authentisierung in IKE 25 Alice Intitator IKEv2: IKE_INIT Header IKE-SA-Vorschlag Diffie-Hellman g x Ni Bob Responder Header IKE-SA Diffie-Hellman g y Nr [CertReq] IKE-SA ausgehandelt, Schlüssel erzeugt, vertraulicher Kanal möglich; KEINE Authentisierung IKE-SA-Vorschlag: enthält die vom Initiator unterstützbaren Algorithmen Ni, Nr Zufallszahlen Diffie-Hellman Verfahren zur Berechnung von SKEYSEED Ableitung aus SKEYSEED (für jede Richtung separat) SK_a: Authentisierungsschlüssel SK_e: Schlüssel für Kryptoverfahren CertReq: Anforderung von Zertifikat(en); Optional 26

Alice Intitator IKEv2: IKE_AUTH Header IDi (Initiator) [Cert] [CertReq] [IDr] (Responder) AUTH IPSec SA- Vorschlag verschlüsselt und Integrität gesichert TSi TSr Header IDr [Cert] AUTH IPSec SA TSi TSr Bob Responder A und B authentisiert; IPSec-SA und Schlüsselmaterial vorhanden Intiator und Responder können mehere IDs haben; IDi und IDr bestimmen die gewählte Authentisierung über Public Key in AUTH Zertifikat und entsprechende Kette in Cert (Optional) TSx enthält Informationen aus lokaler SPD 27 IKEv2: TSx Falls IP Packet verarbeitet wird, für das protect in der SPD gesetzt Packet muss verschlüsselt werden mögliches Problem: es existiert keine SA SPD Verwaltung keine Aufgabe von IKE Aber IKE zur Aushandlung von SAs Informationen aus lokaler SPD können über TSx weitergegeben werden Damit Wahrung der Konsistenz Bsp.: Bob ist Gateway für privates Subnetz Alice will Verkehr ins Subnetz 10.11.12.* tunneln TSi enthält Adressrange: 10.11.12.0-10.11.12.256 Bob kann Adressrange in TSr einschränken 28

Alice Intitator IKEv2 : Zusammenfassung Header IKE-SA-Vorschlag Diffie-Hellman g x Ni Header IKE-SA Diffie-Hellman g y Nr [CertReq] Bob Responder IKE-SA ausgehandelt, Schlüssel erzeugt, vertraulicher Kanal möglich; KEINE Authentisierung verschlüsselt und Integrität gesichert Header IDi (Initiator) [Cert] [CertReq] [IDr] (Responder) AUTH IPSec SA- Vorschlag TSi TSr Header IDr [Cert] AUTH IPSec SA TSi TSr A und B authentisiert; IPSec-SA und Schlüsselmaterial vorhanden 29 IKEv2: CREATE_CHILD_SA Alice Intitator Header [N] SA-Vorschlag Ni [Diffie-Hellman g x ] [TSi, TSr] Bob Responder Header SA Nr [Diffie-Hellman g y ] [TSi, TSr] A und B authentisiert; IPSec-SA und Schlüsselmaterial vorhanden Optional da bereits mit IKE_AUTH IPSec-SA ausgehandelt wird N enthält existierende SA für die neues Schlüsselmaterial berechnet werden soll Optionaler Diffie-Hellman Key Exchange für Forward Security Nx Zufallszahlen 30

IKEv2: Schlüsselgenerierung IKE-SA legt fest: Verschlüsselungsalgorithmus Integritätssicherungsalgorithmus Diffie-Hellman Group (p und g) Zufallszahlenfunktion (Pseudo-random function, prf) prf wird zur Schlüselerzeugung verwendet; Abhängig von der benötigten Schlüsselllänge wird prf iteriert prf+ = T1 T2 T3 T4... T1 = prf( K, S 0x01 ) T2 = prf( K, S 0x02 )... Tn = prf( K, S 0x0n ) mit 31 IKEv2: IKE-Schlüsselmaterial IKE-SA Schlüsselmaterial: SKd Verwendet zur Ableitung neuer Schlüssel für CHILD_SA SKai Schlüssel für Integritätssicherung des Initiators SKar Schlüssel für Integritätssicherung des Receivers SKei und SKer Schlüssel für Verschlüsselung SKei und SKpr Erzeugung der AUTH Payload SKEYSEED = prf ( Ni Nr, g xy ) IKE-SA Schlüsselmaterial: {SKd SKai SKar SKei SKer SKpi SKpr} = prf+ (SKEYSEED, Ni Nr SPIi SPIr) CHILD_SA Schlüsselmaterial: KEYMAT = prf+ (SKd, Ni Nr ) bzw. KEYMAT = prf+ (SKd, g xy Ni Nr ) 32

mehrere Alternativen: IKEv2: Authentisierung Durch digitale Signatur eines vordefinierten Datenblocks Verifikation durch Empfänger Zertifikat (und evtl. entsprechende Kette) erforderlich Optionale Anforderung und Übertragung: CertReq und Cert Zertifikat kann auch schon bekannt sein Durch (keyed) HMAC des Datenblocks Verwendung des Extensible Authentication Protocol (EAP) 33 Verschlüsselung: DES, 3DES RC5 IDEA, 3IDEA CAST Blowfish AES IKEv2 Algorithmen Integritätssicherung: HMAC_MD5_96 HMAC_SHA1_96 DES AES Pseudo-Random Function (prf) HMAC_MD5 HMAC_SHA1 HMAC_Tiger HMAC_AES128 34

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback