Seminar: Konzeptionen von Betriebssystems Komponenten Schwerpunkt: Sicherheit Informatik Studium Fachsemester 4 - SS 2002
Thema: IPsec, inkl. Schlüsselverwaltung (ISAKMP/IKE, Photuris) Referent: Matthias D. Reinhardt Matthias.D.Reinhardt@informatik.stud.uni-erlangen.de 2
Bestandteile von IP-Sec IP-Sec Bestandteile: dazu gehören Authentication Header (AH) Encapsulating Security Payload (ESP) Security Parameter Index (SPI) Security Association (SA) Schlüsselverwaltung 3
Sicherheitsanforderungen an IPSec Existierende Sicherheitsanforderungen 1. Authentisierung (Authentication) Kommunikationspartner 2. Zugriffskontrolle (Access Control) Rechte der User 3. Vertraulichkeit (Confidentiality) Keine Dateieinsicht 4. Integrität (Integrity) Die gesendete Nachricht ist unverändert. 5. Verbindlichkeit Unterschriftenersatz 6. Dienstgüte (Denial of Service) Verfügbarkeit eines Dienstes 4
IP-Sec ein Protokoll der Vermittlungsschicht Einblick in die Vermittlungsschicht und deren Lage im OSI - Referenzmodel und TCP/IP Protokoll Begriffe: Schicht: Bereitstellung von Diensten für die darüber liegende Schicht Dienst: bereitgestellte Gruppe von Operationen Protokoll: Regelgefüge, welches das Format und die Bedeutung der von den Partnereinheiten innerhalb einer Schicht ausgetauschten Rahmen, Pakete oder Nachrichten festlegt 5
Das ISO/OSI Referenzmodell 7. Schicht: Anwendungsschicht 6. Schicht: Darstellungsschicht 5. Schicht: Sitzungsschicht 4. Schicht: Transportschicht 3. Schicht: Vermittlungsschicht 2. Schicht: Sicherungsschicht 1. Schicht: Bitübertragungsschicht Hierauf wird nicht näher eingegangen, da als bekannt vorausgesetzt aus OTRS III 6
Das TCP/IP - Protokoll 4. Schicht: Verarbeitung 3. Schicht: Transport 2. Schicht: Internet 1. Schicht: Host an Netz 7
Einordnung des IP-SEC-Protokolls in das TCP/IP - Protokoll Das IPSec - Protokoll ist auf der Internet-Schicht anzusiedeln Aufgabe den Hosts zu ermöglichen, Pakete in jedes beliebige Netz einzuschießen und unabhängig an das Ziel zu befördern Internet-Schicht definiert offizielles Paketformat und Protokoll IP - Pakete richtig zustellen (Paket - Routing) und für einen Lastenausgleich zu sorgen Die Internet-Schicht TCP/IP ist der OSI -Vermittlungsschicht sehr ähnlich 8
IP Authentication Header (AH) AH gewährleistet mittels einer Prüfsumme Datenintegrität Authentifizierung von Daten und statischen IP Felder Ein zusätzliches Nummernfeld schützt vor Replay - Angriffen 9
Der AH Transport - Mode Original -IP bleibt erhalten Feststellung aller Veränderungen der Originaldaten und des AH - Headers Der AH Transport Modus ohne Schutzfunktion, da alle Infos im Datagramm in Klartext sind AH - Header und die Nutzdaten des Original - Datagrammes 10
Der AH Tunnel - Modus neuer IP-Header wird generiert: Herkunft- und Zieladresse im IP-Header unterscheidet sich vom Original IP-Header Auf neuen IP-Header folgt AH-Header und danach das original Datagramm am neuen IP-Header, am AH-Header sowie am original IP-Header und den Nutzdaten können Änderungen festgestellt werden Informationen in Klartext! Authentifikation kann zwischen zwei Hosts, zwischen zwei Firewalls bzw. einer Firewall und einem Host realisiert werden. 11
AH - graphisch 12
AH graphisch 2 13
Encapsulating Security Payload (ESP) Verschlüsselung für die Vertraulichkeit des Datenverkehrs ESP dient zur Authentifizierung und besitzt Maßnahmen gegen Replay Angriffe Schutz vor unberechtigtem Lesen durch Verschlüsselung der Daten KEY Datenauthentizität durch HMAC- Algorithmus (Sender kann hier eindeutig Authentifiziert werden) Schutz vor Replay Attacken durch Sequenznummern ESP setzt Symmetric Shared Key ein. benutzen beide Parteien zum Ver- und Entschlüsseln der Daten Originalzustand der Pakete durch Verschlüsselung, wobei jede kleinste Änderung erkannt wird 14
ESP Transport Mode (1) Nutzdaten des original IP-Datagrammes und des ESP-Trailer verschlüsselt IP-Header ist weder authentifizierbar noch verschlüsselt! Authentifikationsfunktion schützt nur die Original Nutzdaten, nicht den Original IP - Header. (AH schützt hier beides) 15
ESP Transport Mode (2) zwischen Endpunkten einer Verbindung eingesetzt sichere Kommunikation über den gesamten Verbindungspfad Protokolle authentifizieren Paket bis auf veränderliche Einträge im IP Kopf Verschlüsselungsmechanismen greifen nur für höhere Protokollebenen und den Datenbereich des Paketes ursprüngliche IP - Header bleibt erhalten Transport Modus spart Rechenzeit Es wird kein neuer IP - Header generiert nur Verschlüsselung der Nutzdaten 16
ESP - Tunnel Mode wird eingesetzt, falls ein Rechner keinen Endpunkt in der Verbindung darstellt Sichere Kommunikation zwischen Firewalls, oder entferntes Einwählen in ein LAN um eine sichere Verbindung bis zum Eingangs Gateway zu erhalten bietet eine höhere Sicherheit gesamtes IP-Paket kodiert Paket erhält neuen IP-Header gefolgt von einem AHbzw. eine ESP-Header, die sowohl die Daten als auch die ursprünglichen Protokollköpfe sichern 17
18
Vergleich der beiden Modi von AH und ESP (1) Transportmodus Tunnelmodus 19
Vergleich der beiden Modi von AH und ESP (2) AH ESP 20
SPI Security Parameter Index IP-Sec bietet für IP-Pakete Geheimhaltung und Fälschungssicherheit Für beide Funktionen gibt es einen eigenen optionalen Paket-Header Inhalt: numerischer Wert Anhand des SPI stellt der Rechner fest, welche Chiffrierschlüssel und Verfahren er verwenden muss 21
SA Security Association (1) IPSec muss die beteiligten Rechner mit verschiedenen Schlüsseln und kryptographischen Verfahren assoziieren und deren Einsatz mit den IPSec - Headern koordinieren zwei Rechner bilden eine Sicherheitsassoziation untereinander Mithilfe dieser Beziehung wird das Verschlüsselungs- und Authentifizierungsverfahren bestimmt Eine Sicherheitsbeziehung enthält unter anderem folgende Werte: Zieladresse Verfahren zur Verschlüsselung oder Authentisierung den jeweiligen Modus (Transport oder Tunnel) aktueller geheimer Schlüssel für diese Beziehung weitere Parameter speziell für dieses Verfahren Zeitangabe der Gültigkeit eines Schlüssels 22
SA Security Association (2) Erreicht ein Paket mit einem IPSec - Header einen IPSec unterstützenden Rechner, wird anhand des SPI und der IP - Adresse bestimmt, welche SA auf diesen IPSec - Header anzuwenden ist Sicherheitsbeziehungen (SAs) zwischen zwei Rechnern werden mithilfe der eindeutigen IP - Adressen formuliert eine Security Association (SA) pro Kommunikationsrichtung wird benötigt 23
IPSec Schlüsselverwaltung (1) Für Sicherheitsprotokolle sollte die Beziehung zwischen einzelnen berechtigten Einheiten sowie deren Chiffrierschlüsseln und Identifizierungs - codes innerhalb der Nachrichten definierbar sein Bei IPSec wird anhand des SPI die jeweils geltende Sicherheitsassoziation (SA) für den jeweiligen IPSec - Header ausgewählt. Benötigt wird noch eine Methode, um diese SAs einzurichten und ihnen SPI s zuzuordnen Die Verwaltung und Verteilung der Schlüssel wird nicht innerhalb von IP - Sec gelöst 24
IPSec Schlüsselverwaltung (2) Man geht davon aus, dass es ausreichend sichere Verfahren gibt Es gibt vier Standardkonzepte zum IPSec Schlüsselaustausch Der Unterschied einzelner Konzepte besteht dabei in der Produktverfügbarkeit und Benutzerfreundlichkeit und weniger hinsichtlich Sicherheitsaspekte manuelle Schlüsselverwaltung ist standardmäßig in jeder IPSec kompatiblen Implementierung verfügbar 25
Manuelle Schlüsseleinrichtung Sicherheitsassoziationen werden hier manuell konfiguriert Definition von SPIs, kryptographischen Verfahren und Schlüsseln sowie der Angabe eines Rechners, der diese Angaben verwendet Die Sicherheitsassoziationen werden in einer Textdatei mit einheitlichem Format definiert Alle Zahlen werden dezimal dargestellt bei längeren Zahlen werden die einzelnen Bytes durch Punkte getrennt 26
SKIP Simple Key Interchange Protocol (1) SKIP tauscht Schlüssel zwischen IPSec - Rechnern aus Es wird ein spezieller Header vor den IPSec - Headern in die IP - Pakete eingetragen Schlüsselaustausch beruht auf einem gemeinsamen Geheimnis, oder es wird ein authentifizierter Schlüsselaustausch mit dem Diffie-Hellmann-Algorithmus durchgeführt 27
SKIP Simple Key Interchange Protocol (2) Tausch des öffentlichen Schlüssels Erzeugung eines geheimen Wertes mit privatem Schlüssel für beide Kommunikationspartner ohne zusätzliche Verbindungsaufnahme SKIP verursacht dabei einen Overhead von 20 bis 30 Byte in jedem Paket SKIP wurde von Sun Microsystems entwickelt und im Produkt SunScreen zur Aushandlung von Schlüsseln in VPNs verwendet 28
ISAKMP Internet Security Association and Key Managment Protocol (1) IKE ist ein Protokoll, das der Verwaltung von Security Associations innerhalb IPSec dient IKE wird gebraucht, da IPSec die zur Verschlüsselung notwendigen Informationen (Algorithmus, Schlüssel, Gültigkeitsdauer etc.) nicht selbst überträgt, sondern sie aus einer lokalen SA bezieht IKE ist ein Schlüsselaustauschverfahren, das speziell auf die Benutzung mit ISAKMP abgestimmt ist. (Im RFC 2410 befinden sich genaue Definitionen) Die benötigten Schlüssel werden mittels des asymmetrischen Diffie-Hellman-Verfahrens ausgetauscht 29
ISAKMP Internet Security Association and Key Managment Protocol (2) ISAKMP ist Protokoll zur Verwaltung von Sicherheitsassoziationen Schlüsselaustausch Es bietet Funktionen für Aushandlung, Einrichtung, Modifikation und Zurücknahme von SAs Vorgabe des formalen und organisatorischen Rahmens für Verwaltung von SAs Schlüsselgenerierung liegt in Verantwortung anderer Protokolle ISAKMP ist Protokoll der Anwendungsschicht: z. T. schlechter zu integrieren weniger Netzverkehrbelastung da keine Schlüsselverwaltungsdaten übertragen werden Einsetzung zur Automatisierung der Generierung und der Erneuerung kryptografischer Schlüssel 30
Automatisches setzen der SA (1) Automatisches Key Management ist bei großen Installationen anzuraten unterschiedliche Sicherheitrichtlinien (Security Policies) der miteinander kooperierenden Systeme müssen angeglichen werden In Verbindung mit einem gültigen Zertifikat ist die Identität des mobilen Mitarbeiters durch seine digitale Signatur sicher überprüfbar ISAKMP automatisiert die Generierung und die Erneuerung der kryptografischen Schlüssel, dabei soll die manuelle Konfiguration soweit wie möglich ausgeschlossen werden Der sichere Austausch der Schlüssel ist die kritischste Phase in Bezug auf die Sicherheit der Verbindung 31
Automatisches setzen der SA (2) Der ISAKMP Informationsaustausch muss verschlüsselt und mit einer geeigneten Authentifizierung ablaufen, damit niemand die Schlüsselinformationen lesen kann und der Austausch nur zwischen authentifizierten Partnern stattfindet Das ISAKMP - Protokoll beinhaltet die komplexesten und Prozessor - intensivsten Operationen im IPSec Protokoll Denial of Service: Die Nachrichten enthalten eindeutige ``cookies zur schnellen Identifizierung ohne intensive Berech-nungen durchführen zu müssen Man-in-the-Middle: Schutz vor dem Löschen und Verändern, dem Umlenken und dem Reflektieren der Nachrichten sowie dem nochmaligen Versenden alter Nachrichten Perfect Forward Secrecy: Unabhängige Schlüsselauswahl 32
ISAKMP Message Format (1) 33
2 Phasen von ISAKMP Phase 1: master secret Einsatz Schutz der Kommunikation Schutz der ISAKMP Nachrichten wird einmal (am Tag oder in der Woche) ausgehandelt, woraufhin die Phase 2 dann mehrmals (in einigen Minuten) abgehandelt werden kann Phase 2: SA's und die Schlüssel werden ausgehandelt, welche die Nutzdaten schützen sollen Die nötigen ISAKMP - Nachrichten werden durch die in der Phase 1 generierten SAs geschützt 34
Photuris Photuris konkurriert mit ISAKMP es dient zur Einrichtung von Sicherheitsassoziationen sowie zum Schlüsselaustausch und verwendet den Diffie-Hellman- Algorithmus Protokoll nicht so komplex aber auch nicht so flexibel wie ISAKMP enthält keine Komponenten, mit denen ein einfacher und direkter Austausch von Sitzungsschlüsseln auf Basis geheimer Schlüssel möglich ist 35
Nachteil(e) von IPSec eingeschränkt auf den Trans-port von Internet- Protokollen bietet keinen Schutz vor Viren oder Trojanern schützt nicht gegen Angriffe, die auf Fehler auf diverse Server Implementationen zurückzuführen sind Replay-Attacken kann nicht die Aufgabe einer Firewall übernehmen Angreifer erhält ggf. eine abgesicherte Verbindung zu einem unsicheren Server bietet keinerlei Sicherheit wenn jemand Zugriff zum Schlüssel bekommen hat (z.b. Hacker) Cut-and-Paste und Rewrite Angriffe möglich! Schutz mit AH 36