1 / 49

Internet Protocol Security (IPsec)

Chapter 18. Internet Protocol Security (IPsec). Internet Protocol Security (IPsec). คือ ชุดโปรโตคอลเพิ่มเติมของโปรโตคอล IP เพื่อให้การติดต่อสื่อสารมีความปลอดภัยมากขึ้น โดยสิ่งที่เพิ่มเติมที่ทำให้มีความปลอดภัยนั่นคือ มีการทำ authentication และการ encryption

zea
Download Presentation

Internet Protocol Security (IPsec)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapter 18 Internet Protocol Security (IPsec)

  2. Internet Protocol Security (IPsec) คือ ชุดโปรโตคอลเพิ่มเติมของโปรโตคอล IP เพื่อให้การติดต่อสื่อสารมีความปลอดภัยมากขึ้น โดยสิ่งที่เพิ่มเติมที่ทำให้มีความปลอดภัยนั่นคือ มีการทำ authentication และการ encryption ในข้อมูล IP packet ที่รับส่งกัน

  3. IPsec Headers - Authentication header (AH) - Encapsulating Security Payload (ESP) header and trailer • IPSec Header จะถูกเพิ่มเข้าไปใน Packet ของ TCP/IP โดยปกติแล้ว แพ็กเกจหนึ่งๆ จะประกอบด้วย IP Header , IP payload และเมื่อใช้ IPSec ส่วนของ IPSec Header ก็จะถูกผนวกเข้าไปในแพ็กเกจ

  4. Authentication Header(AH) • เป็นโปรโตคอลที่ทำหน้าที่รักษาความถูกต้องสมบูรณ์ของข้อมูล เพื่อเป็นการยืนยันว่าข้อมูลที่ได้รับนั้นไม่ได้ถูกแก้ไขระหว่างทาง

  5. Authentication Header(AH)

  6. Authentication Header(AH) AH มีขนาด 24 ไบต์ อธิบายได้ดังนี้ - Next Header ใช้เพื่อบอกให้ทราบว่ากำลังใช้รูปแบบใดในการใช้งาน IPsecระหว่าง Tunnelmode ค่าจะเป็น 4 ส่วน Transport mode ค่าจะเป็น 6 - Payload length บอกความยาวของข้อมูลที่ต่อท้ายเฮดเดอร์ ตามด้วย Reserved จำนวน 2 ไบต์ - Security Parameter Index (SPI) กำหนด Security Association สำหรับใช้ในการถอดรหัสแพ็กเก็ตเมื่อถึงปลายทาง - Sequence Number ขนาด 32 บิตใช้บอกลำดับของแพ็กเก็ต • Hash Message Authentication Code (HMAC) เป็นค่าที่เกิดจากฟังก์ชันแฮชเช่น MD5 • หรือ SHA-1 เป็นต้น

  7. AH Transport Mode Transport mode คือ จะมีการเข้ารหัสเฉพาะส่วนของข้อมูล แต่ส่วนของ Header จะยังไม่มีการเข้ารหัส ซึ่งใน Mode นี้ โดยส่วนมากจะนำไปทำงานร่วมกับโปรโตคอลอื่นๆเช่น ร่วมกับโปรโตคอล L2TP

  8. AH Tunnel Mode Tunnel mode จะมีการเข้ารหัสทั้งส่วนของข้อมูล และส่วนของ Header โดยทำการสร้าง IP Header ขึ้นมาใหม่

  9. Encapsulating Security Payload (ESP) ใช้สำหรับรักษาความถูกต้องของ Packet โดยใช้ HMAC และ การเข้ารหัสร่วมด้วยและให้บริการการเข้ารหัสลับของข้อมูลข่าวสารรวมทั้งการ จำกัดปริมาณการไหลของการสื่อสารทั้งนี้เพื่อป้องกันแฮคเกอร์ที่อาจใช้วิธีการ ที่เรียกว่า TCP Guessing หรือ TCP SYN Flood เข้ามาโจมตีคู่สนทนาได้

  10. Encapsulating Security Payload (ESP)

  11. Encapsulating Security Payload (ESP) - Security Parameter Index (SPI) กำหนด Security Association (SA) ระบุ ESP ที่สอดคล้องกัน - Sequence Number ระบุลำดับของแพ็กเก็ต- Initialization Vector (IV) ใช้ในกระบวนการเข้ารหัสข้อมูล ป้องกันไม่ให้สองแพ็กเก็ตมีการเข้ารหัสที่ซ้ำกันเกิดขึ้น - Data คือข้อมูลที่เข้ารหัส - Padding เป็นการเติม Data เพื่อให้ครบจำนวนไบต์ที่เข้ารหัสได้ - Padding Length บอกความยาวของ Padding ที่เพิ่ม - Next Header กำหนดเฮดเดอร์ถัดไป - HMAC ค่าที่เกิดจากฟังก์ชันแฮชขนาด 96 บิต

  12. ESP Transport Mode สำหรับ ESP Transport mode ,ESP header จะถูกเพิ่มใน IP datagram มีเพียง IP header และ ESP trailer จะเพิ่มหลังจาก payload ใน IP header, ฟิลด์ Protocol กำหนดเป็น 50(0x32) เพื่อแสดงว่า ESP header เป็นปัจจุบัน

  13. ESP Transport Mode

  14. ESP Transport Mode

  15. ESP Tunnel Mode In ESP Tunnel mode, the entire original IP datagram is encapsulated with a new (outer) IP header and an ESP header and trailer. In the outer IP header, the Protocol field is set to 50 (0x32) to indicate that an ESP header is present. For Tunnel mode, the original IP header and payload are unmodified. Like AH Tunnel mode, the outer IP header is constructed from the configuration of the IPsec tunnel.

  16. ESP Tunnel Mode

  17. ESP Tunnel Mode For ESP Tunnel mode, the following portions of the packet are encrypted ■ The original IP datagram (IP header and payload) ■ The Padding, Padding Length, and Next Header fields of the ESP trailer

  18. ISAKMP Message Structure ISAKMP messages are sent as the payload of UDP messages using UDP port 500

  19. ISAKMP Header The ISAKMP header is a standard header that is present for all ISAKMP messages and contains information about the message, including the type of packet.

  20. ISAKMP Header

  21. SA Payload The SA payload is used to indicate the domain of interpretation (DOI) and situation for the SA negotiation. The DOI is a set of definitions for payload formats, exchange types, and naming conventions for security-related information, such as the naming of policies and cryptographic algorithms. A situation is a set of information that identifies security services in the ISAKMP message

  22. SA Payload

  23. Proposal Payload The Proposal payload contains security parameter information that is used to negotiate the security settings for either an ISAKMP or IPsec SA. The Proposal payload contains proposal settings and then a series of one or more Transform payloads that contain the specific security settings for encryption and authentication algorithms for the SA

  24. Proposal Payload

  25. Transform Payload The Transform payload contains information that identifies a specific security mechanism, or transform, that is proposed to secure future traffic. The Transform payload also contains SA attributes, as defined in RFC 2407 for the IPsec DOI.

  26. Transform Payload

  27. Vendor ID Payload The Vendor ID payload contains a string or number that either indicates a specific capability or is defined by a vendor so that an IPsec implementation can recognize an IPsec peer running the same implementation

  28. Vendor ID Payload

  29. Nonce Payload The Nonce payload contains a pseudorandom number that is used to ensure a live exchange and provide replay protection. Nonces are also used to calculate hashes in other payloads. Figure

  30. Nonce Payload

  31. Key Exchange Payload The Key Exchange payload contains information pertaining to the key exchange process. The key exchange process supported by IPsec for Windows Server 2008 and Windows Vista is Diffie-Hellman. With Diffie-Hellman, two IPsec peers exchange key values that are sent in plaintext.

  32. Key Exchange Payload

  33. Notification Payload The Notification payload is used to transmit control information, such as an error condition, to an IPsec peer. A single ISAKMP message can contain multiple Notification payloads. For Notification payloads within a Main mode message, the initiator and responder cookies identify the negotiation

  34. Notification Payload

  35. Delete Payload The Delete payload is used to inform an IPsec peer that an SA for a specific protocol has been deleted. The receiver should remove its corresponding SA. IPsec for Windows Server 2008 and Windows Vista supports verification of Delete payloads. If an ISAKMP message with a Delete payload is received, the receiver acknowledges it. If an acknowledgment is not received, the Delete payload is resent

  36. Delete Payload

  37. Identification Payload The Identification payload is used to convey identification information and authenticate an IPsec peer.

  38. Identification Payload

  39. Hash Payload The Hash payload contains a hash value that is a result of a hash function computed over a set of fields or other parameters. The Hash payload can be used to provide integrity or authentication of negotiating peers

  40. Hash Payload

  41. Certificate Request Payload The Certificate Request payload is used to request certificates from an IPsec peer. After receipt of an ISAKMP message with a Certificate Request payload, an IPsec peer must send a certificate or certificates based on the contents of the Certificate Request payload.

  42. Certificate Request Payload

  43. Certificate Payload The Certificate payload is used by an IPsec peer when sending its certificate. This is typically done during the authentication phase of Main mode negotiation.

  44. Certificate Payload

  45. Signature Payload The Signature payload is used to send digital signatures calculated over a set of fields or parameters. The Signature payload provides data integrity and nonrepudiation services during the authentication phase of Main mode negotiation

  46. Signature Payload

  47. AuthIP Messages Both IKE and AuthIP use ISAKMP as their key exchange and SA negotiation protocol. AuthIP uses ISAKMP messages with the exchange types 243 (Main Mode), 244 (Quick Mode), 245 (Extended Mode), and 246 (Notify) in the ISAKMP header. An important difference in AuthIP-based ISAKMP messages is that they contain only one ISAKMP payload: either the Crypto payload or the Notify payload. The Crypto payload contains the embedded payloads used for the Main mode, Quick mode, or Extended mode negotiation.

  48. AuthIP Messages

  49. จัดทำโดย นายอาจณรงค์ เกิดผล รหัส 115130462014-9 กลุ่ม 51346 CPE

More Related