1 / 38

Virtual Private Network alapok titkosítás, IPsec

Virtual Private Network alapok titkosítás, IPsec. Kovács József jkovacs@lanex.hu. Miről lesz szó?. Néhány gondolat a hálózat- biztonságról VPN – virtuális magánhálózatok Tanusítvány IPsec. Hálózatbiztonság – egy „külön szakma”. LDAP. PKI. IKE. ISAKMP-Oakley. Digital Certificates.

wells
Download Presentation

Virtual Private Network alapok titkosítás, IPsec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Virtual Private Network alapoktitkosítás, IPsec Kovács József jkovacs@lanex.hu

  2. Miről lesz szó? • Néhány gondolat a hálózat- biztonságról • VPN – virtuális magánhálózatok • Tanusítvány • IPsec

  3. Hálózatbiztonság – egy „külön szakma” LDAP PKI IKE ISAKMP-Oakley Digital Certificates Firewall KEYs SKIP CypherText 3-DES QoS PPTP SHA-1 Extranet L2F SSL CHAP MD-5 PAP L2TP

  4. A hálózatbiztonság kiépítésének általános modellje Source: Axent / SNCI

  5. Néhány eszköz a hálózatbiztonság megteremtésére • Tűzfalak • VPN rendszerek • Vírusvédelem • Átfogó hálózat felügyelet (menedzsment) • Titkosítás • Hozzáférési kontroll • Azonosítás (Autentikáció) • Fizikai védelem

  6. Mi az a VPN? VPN – Virtual Private Network Virtuális magánhálózat Telecommuters & Remote Users Mobile Users & Field Sales FRAME RELAY INTERNET Corporate Headquarters Customers & Consultants DEDICATED IP NETWORK Suppliers Web Site Branch Offices Biztonságos magánhálózati kialakítás nyilvános hálózaton keresztül

  7. A virtuális magánhálózat lehetővé teszi: • a szervezetek biztonságos kommunikációját a telephelyek, helyszínek között (Site to Site VPN) • távoli felhasználók biztonságos kommunikációját a szervezet hálózatával (Remote Access VPN)

  8. Router Router VSU-7500 Egy általános VPN hálózat felépítése Távoli felhasználók Üzleti partner Távoli elérés System Administrators VPNremote Client Software Cable, DSL, Dial-up, or ISDN Router VSU-2000 Extranet ISP Internet ISP T1 Távoli iroda Szolgáltatói hálózat Vállalati kp. Vállalati alkalmazások T1 T3 Intranet VSU-100 Syslog Server VPNmanager Server VSU-7500 VPNmanager Console Alkalmazás szolgáltatás

  9. Tanúsítvány

  10. Tanúsítványok • A kérdés: kiben lehet megbízni, amikor nyílt kulcsú titkosítást használsz? • A válasz: bárkiben megbízhatsz, akiben egy harmadik mindenki által elfogadott fél megbízik • Ez a „bizalom átadás” a tanúsítvány

  11. Mi a tanúsítvány? • A tanúsítvány összerendeli a nevet (IP címet ebben a környezetben)és a publikus kulcsotThe binding is done by digital signature. • A tanúsítványt a CA(certificate authority) állítja ki.

  12. Tanúsítvány • Minden VPN-nek kell CA. • A CA mutatja be a tanúsítványokat a VPN eszközöknek. • A tanúsítvány válasz hitelesített egy hitelesítő kulccsal. • Minden tanúsítványban van egy lejárati dátum beleépítve.

  13. A tanúsítványban lévő információk • A tárgy azonosítója. • A kiállító azonosítója. • A tárgy publikus kulcsa. • Lejárati idő. • CRL (Certificate Revocation Lists). • Policy, megszorítások (opcionális).

  14. X.509 • X.509 nemzetközileg elfogadott tanúsítvány szabvány. • Szabott helye van a CA struktúrában.

  15. Titkosítás

  16. Public Key Algorithm Public Keys PrivateKey

  17. Diffie Hellman A Private Key B Private Key + + B Public Key A Public Key SymmetricKey

  18. Symmetric Vs.Public key cryptography • Szimetrikus titkosítás (DES / 3DES). • A kérdés: a kulcsok kezelése Cipher B Plain Plain A Encryption Decryption

  19. Symmetric Vs.Public key cryptography • Public key cryptography (DH / RSA). • kérdés : lassú, bizalom Public key Private key Cipher Plain Plain A B Encryption Decryption

  20. Digitális aláírás algoritmusa • Public key cryptography: • private key használata az aláíráshoz. • public key használata az azonosításhoz. • példa : RSA. • Symmetric cryptography: • Ugyanazon secret key használata az aláíráshoz és az azonosításhoz is. • példa : DES-MAC.

  21. IPSEC

  22. IPSEC • IPSEC egy protokoll a IP csomagok titkosításához és azonosításához. • Minden egyes IP csomagot egy IPSEC csomagba csomagolják.

  23. Tunnel mode • A csomagokat a security gateway-ek becsomagolják IPSEC-be, továbbítják a távoli security gateway felé, amely kicsomagolja és kézbesíti a célcímnek. • A két security gateways egy ‘tunnel’-t feszít ki. • A két host-nak nincs tudomása az egész titkosítási folyamatról.

  24. IPsec • IETF által létrehozott • Cél: Integritás és bizalom a hálózati rétegben • Protokollok • Encapsulation (AH, ESP) • Automatic key management (IKE - ISAKMP/Oakley)

  25. Application TCP UDP A tunnel-ezett csomagok IP IPSEC IP MAC

  26. Server Internet HUB HUB Router Router Server IPsec gateway IPsec Gateway Host Host Tunnel Mode Application Protected Data Protected Data Application Protected Traffic TCP UDP TCP UDP IP IP AH/ESP AH/ESP Clear Headers IP IP

  27. ESP és AH • AzESP (Encapsulation Protocol) az IPSEC protokoll-családnak a csomagok titkosításához és azonosításhoz használatos protokollja. • AzAH (Authentication Header) egy másik, csak azonosításhoz használható protokoll. • Az azonosítás egyszerű, de nem azonos a két esetben.

  28. Replay counter • A replay counter arra való hogy védekezzünk az újraadás ellen. • Minden csomag kap egy egyedi ID-t. Az ID egy számláló, amely minden csomagnál csökken. • Ha egy csomag kétszer érkezik meg, vagy nem megfelelő sorrendben, akkor az egy esetleges betörés jele.

  29. IV - Initial vector • DES-CBC titkosítási algoritmusban minden titkosított csomagotblokkonként (8 bytes) egy előtag előzi meg. • Az első blokk IV-n alapul.

  30. Security Association (SA) • Az SA-t a két kommunikáló fél osztja megegymás között. • Az SPI (Security Parameter Index) egy szám, amely indexként szolgál az SA számára. • Minden SA-nakkét SPI-je van: incoming & outgoing. • Az SPI-t a vevő oldal állapítja meg.

  31. Kulcs Menedzsment • Ahhoz, hogy az SA kiépüljön, szükséges, hogy a két fél minden biztonsági paramétert egyeztessen, amibe beletartozik a a kulcsok kicserélése is. • IKE (Internet Key Exchange) egy protokoll a kulcs menedzsment számára. • Leírja, hogy hogyan lehet SA-t létesíteni. • IKE az ISAKMP & OAKLEY protokollokon alapul, kombinálva az IPSEC DOI-val.

  32. IKE Main mode • Az alap metódus készít egy SA-t,amelyet később a Quick Mode üzenetek védelméhez fog használni.A Quick mode egy SA-t generál, amelyet az IPsec fog használni. • A generált SA-t ISAKMP SA-nak hívják.

  33. IKE Main Mode (folyt.) • Main Mode három részre bontható (hat üzenetváltás) : • SA ajánlás és reagálás – az adó és a vevő megegyezik a ISAKMP SA paraméterekben. • KE ajánlás és reagálás- DH public kulcsok cseréje. • ID ajánlás és reagálás- azonosító adatok cseréje.

  34. IKE Main Mode Initiator Responder 1 SA Header 2 Header SA 3 Nonce Key Header 4 Header Key Nonce 2 Encrypted Encrypted Sig Cert. ID Header 5 1 1 6 Header ID Cert. Sig 2 2

  35. IKE Quick Mode • Quick Mode három üzenetből áll: • SA proposal + nonce + ID. • SA response + nonce + hash + ID. • Acknowledge + hash. • The Quick Mode üzenetek a Main mode-ban létrehozott ISAKMP SA által védettek.

  36. IKE Quick Mode Initiator Responder 1 ID Key Nonce-2 SA Hash-2 Header 2 Header Hash-2 SA Nonce-2 Key ID 3 Hash-3 Header

  37. A VPN hálózatok előnyei Költségmegtakarítás: • 20-40% site to site VPN-ek esetében • 60-80% remote access VPN-ek esetében Rugalmasság: • Új telephely, új felhasználó csatlakoztatása rendkívül egyszerű. Nem kell hozzá más, csak egy Internet csatlakozás, és egy VPN Gateway vagy kliens szoftver Biztonság: • A VPN hálózatok az alkalmazott technológiáknak, protokolloknak és szabványoknak köszönhetően fokozott biztonságot élveznek IP telefónia támogatása: • VPN hálózatok IP telefónia alkalmazása esetében is kiépíthetők Egyszerű menedzsment

  38. Köszönöm a figyelmet!

More Related