Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Datakommunikasjon Høsten 2001 Forelesning nr 12, 12. november 2001 Repitisjon + IPSec.

Liknende presentasjoner


Presentasjon om: "Datakommunikasjon Høsten 2001 Forelesning nr 12, 12. november 2001 Repitisjon + IPSec."— Utskrift av presentasjonen:

1 Datakommunikasjon Høsten 2001 Forelesning nr 12, 12. november 2001 Repitisjon + IPSec

2 Pesumliste zLegges ut på kursets hjemmeside denne uken

3 Kommunikasjonslagene (referert til OSI) ApplicationPresentationSession Ethernet IP ARP ICMP TCPUDP NetworkTransportData LinkPhysicalApplicationTransportNetworkData Link PPP FTPHTTP DNS OSI Internet-TCP/IP SMTP

4 IP Header VersionIHLType of ServiceTotal length Source Address Destination Address Options Identification 0 DFDF MFMF Fragment Offset Time to LiveProtocolHeader Checksum RFC791 Eksempel

5 TCP - Transmission Control Protocol Source Port TCP Header Destination Port Sequence Number Acknowledge Number Header Length Reserved URGURG ACKACK PSHPSH RSTRST SYNSYN FINFIN Window Size TCP ChecksumUrgent Pointer Options

6 TCP - Sekvens opp- /nedkobling SYN SYN, ACK ACK FIN ACK - Data - FIN THREE WAY HANDSHAKE HALF CLOSE

7 UDP - User Datagram Protocol UDP Header Source PortDestination Port UDP length UDP length = lengden av hele datagrammet UDP checksum UDP checksum = sjekksum av hele datagrammet

8 SMTP Mail Flyt

9 User Agent (mail program) zLese og sende mail zOpsjoner: yVideresending til andre ySvarsfunksjon yFiltrering av innkommende mail til ulike mail bokser ySignatur fil yAdresslister, aliases

10 Mail Transfer Agent (MTA) zAnsvarlig for å sende mailen gjennom nettet zBaseres på SMTP (Simple Mail Transfer Protocol) zSMTP er en enkel ASCII protokoll zBenytter TCP og port 25 for å opprette en forbindelse mellom to MTA-er

11 Sammensetning av en mail zEnvelopes yBrukes av Message Transfer Agent zHeaders yBrukes av User Agent zBody yInnholdet i mailen (tekst og vedlegg)

12 SMTP-kommandoer (RFC 821) zHELO zMAIL FROM: zRCPT TO: zDATA z. zQUIT

13 MX-records zBrukes for å fortelle omverdenen om hvem som er mail server zDel av DNS (Domain Name System) zMX-recorden for en domene forteller i prioritert rekkefølge hvor mailen skal sendes

14 POP 3 zPost Office Protocol number 3 zProtokoll for å hente mail fra mail server til en mail klient (f.eks Outlook eller Eudora) zBruker TCP og port 110 zBaserer seg på enkle ASCII kommandoer

15 Internet Message Access Protocol - IMAP zMail klient zTilsvarende som POP3, men all behandling av mail foregår på mailserveren zPOP3 henter mailen ned til User Agent

16 MIME – Multipurpose Internet Mail Extension zUtvidelse av SMTP for å kunne overføre filer som ikke er 7-bit ASCII zMIME informasjon i mail: yMIME-Version yContent-Type yContent-Transfer-Encoding y(Content-Description) y(Content-ID)

17 MIME – Content Type zText zImage zAudio zApplication (Word, Postscript, ) zMultipart (Mixed, alternative)

18 MIME – Content-transfer encoding zForteller hvordan innholdet av mailen er kodet z Fem forskjellige kode formater er definert y7 bits ASCII yQuoted Printable ybase64 y8 bits som inneholder linjer ybinær koding, 8 bit data uten linjer

19 Quoted Printable z7 bit ASCII med alle karakterer 127 kodes som likhetstegn + verdien av tegnet som to hexadecimale tegn zeks. bokstaven ”å” kodes som =E5 zKarakteresettet ISO-8859 gir å=229 desimalt 229= z1110=E z0101=5 z”å” kodes som =E5

20 Base 64 Encoding

21 Base 64 transfer encoding zTre bytes med data kodes som fire 6 bits karakterer zOrginale data: Hi! H i ! (24 bit) (desimalt) S G k h zDatamengden øker med 25% zInneholder ikke kontrollkarakterer zSe tabell 19.9 Radix-64 Encoding side 725

22 MIME eks. Word fil som vedlegg MIME-Version: 1.0 Content-Type: multipart/mixed; Content-Type: text/plain; charset="iso " Content-Type: application/msword; Content-Transfer-Encoding: base64

23 Hypertext Transfer Protocol HTTP zBenyttes av WWW zProtokoll for overføring av HTML zKan overføre tekst, lyd, bilder osv. zTransaksjonsorienter klient/tjener protokoll zVanligvis mellom en Web browser (klient) og Web server (tjener) zBenytter TCP zTilstandsløs yHver transaksjon behandles separat (Keep-Alive) yEn ny TCP forbindelse for hver transaksjon yTerminerer forbindelsen når transaksjonen er komplett

24 HTTP eksempel (GET) (REQUEST METODE) Line 1: GET / HTTP/1.1 (REQUEST HEADER PARAMETER) Line 2: Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, application/vnd.ms-powerpoint, */* Line 3: Accept-Language: en Line 4: Accept-Encoding: gzip, deflate Line 5: If-Modified-Since: Wed, 26 Sep :30:23 GMT Line 6: If-None-Match: "502728de6d46c11:1c8e” Line 7: User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 4. 0; TUCOWS) Line 8: Host: intranett.halden.scandpower.no (GENERAL HEADER FIELD) Line 9: Connection: Keep-Alive

25 HTTP eksempel (response) Line 1: HTTP/ OK Line 2: Server: Microsoft-IIS/4.0 Line 3: Date: Sun, 04 Nov :20:09 GMT Line 4: Content-Type: application/x-javascript Line 5: Accept-Ranges: bytes Line 6: Last-Modified: Fri, 02 Nov :58:51 GMT Line 7: ETag: "80f66b80a663c11:1c8e" Line 8: Content-Length: 14481

26 Telnet og Rlogin zInnlogging fra en maskin til en annen over nettet zBenytter seg av klient-tjener begrepet zTelnet er en standard applikasjon som er implementert i alle TCP/IP applikasjoner zRlogin kommer fra Berkley Unix og ble utviklet for pålogging mellom to Unix systemer zTelnet er mer kompleks enn Rlogin

27 FTP (File Transfer Protocol) zInternett standard for filoverføring zFTP protokoll yKontroll forbindelse yServer gjør en ”passive open” på port 21 yKlient gjør en ”active open” til port 21 yData overføres fra port 20 på FTP serveren

28 DNS - Domain Name System zMapper mellom hostnavn og IP-adresse (og omvendt) zBenyttes av TCP/IP applikasjoner zDistribuert, hierarkisk zBenytter både TCP og UDP som transport, port nummer 53 zEksempler yDNS QueryDNS Query yDNS ReplyDNS Reply RFC1034RFC1034, RFC1035RFC1035

29 DNS - Domain Name System RFC1034RFC1034, RFC1035RFC1035 zDistribuert yIngen navneserver har lagret all informasjon yEt nett (firma, organisasjon o.l) har en eller flere navneservere xInneholder hele eller deler av egne definisjoner xHåndterer også forespørsler utenfra zHierarkisk yHvis egen server ikke har nødvendig informasjon, sendes forespørselen til nivået over yEt overliggende nivå vil gjenkjenne nok til å kunne velge underliggende nivå for forespørsel.

30 DNS - Domain Name System RFC1034RFC1034, RFC1035RFC1035 Top Level Domains Second Level Domains Unnamed root IN- ADDR YAHOO PEOPLE NO SCANDPOWER WWW Generic DomainsCountry Domains ARPA - Special Domain for address-to-name mappings COMEDUGOVMILNETORGARPAAENOZW

31 DNS - Domain Name System RFC1034RFC1034, RFC1035RFC1035 zResultat fra en ekstern forespørsel kan lagres i lokal navneserver til senere bruk zEn DNS respons vil inneholde informasjon om kilden er autoritativ eller ikke.

32 DNS Resource Records zA: navn til IP-adress mapping zPTR: IP-adresse til navn mapping (reverse lookup) zCNAME (Canonical name) Alias for et annet navn f.eks. Intranett = lou.halden.scandpower.no zMX Mail Excange Record zNS Name Server record

33 Sikkerhet zAutentisering (identifikasjon) zAksesskontroll (aksess til ressurser) zKonfidensialitets (informasjon holdes hemmelig) zIntegritetstjeneste (data skal være korrekte) zTilgjengelighet (informasjonen skal være tilgjengelig for de som er autorisert) zCIA – Confidentiality Integrity Availability

34 Symmetrisk kryptering Cleartext Cleartext Encryption Algorithm Ciphertext Ciphertext EncipherDecipher Secret Key BOB og ALICE benytter samme hemmelige nøkkel Bob Alice

35 Asymmetrisk kryptering One Key to Encipher Another Key to Encipher Cleartext Cleartext Encryption Algorithm Ciphertext Ciphertext EncipherDecipher BOB og ALICE benytter forskjellige nøkler BOB benytter ALICE sin offentlige nøkkel ALICE benytter sin private nøkkel Alice Bob

36 Krypteringsalgoritmer zSymmetriske: yDES (Data Encryption Standard) yRC2 yIDEA yCAST yBLOWFISH zPublic-Key (assymetriske) yRSA yELGAMAL

37 HASH funksjon zEn hash funksjon tar som input en vilkårlig melding med variabel lengde zOutput er alltid en melding med fast lengde zSHA-1 (Secure Hash Function) Output er alltid 160 bit zMD5 (Message Digest no 5) Output er alltid 128 bit

38 Krav til HASH funksjon zMå kunne benyttes på en datablokk av vilkårlig størrelse zMå produsere en melding med fast lengde uavhengig av lengden av input zDet må ikke være mulig å gjenskape den opprinnelige teksten basert på resultatet av hash funksjonen zTo forskjellige meldinger må ikke kunne gi samme resultat fra hash funksjonen

39 En veis hash (1) Tekst Digest Hash Algoritme Melding sendt til Alice Bob

40 En veis hash (2) Mottatt tekst Digest Hvis = Mottatt tekst OK! Digest Hash Algoritme Alice Sikrer integritet, dvs at teksten ikke er endret under overføring

41 Autentisering Message Authentication Code zHvordan vet Alice at meldingen kommer fra Bob ? zBob kombinerer hash funksjonen med symmetrisk eller asymmetrisk kryptering z(Hash + kryptering) zResultat = MAC, Message Authentication Code Hash Algorithm Secret key +

42 Secret key Autentisering (Felles hemmelig nøkkel) MAC Hash Algorithm Secret key Melding + MAC Melding som sendes Alice Bob

43 Secret key Autentisering (Felles hemmelig nøkkel) MAC Melding MAC Hvis = OK ! MAC Hash Algorithm Melding + Secret key Alice

44 Public key Autentisering (signatur, bruk av privat og offentlig nøkkel) Digest Hash Algorithm Tekst *  ^1 ’  Melding sent til Alice *  ^1 ’  Encryption Bob’s Private key Bob

45 Public key Autentisering (signatur, bruk av privat og offentlig nøkkel) Digest Tekst *  ^1 ’  Hvis = OK ! Digest Hash Algorithm Decryption Bob’s Public key Alice

46 IPSec – IP Security zSikkerhetsmekanisme for beskyttelse av VPN zVPN – Virtual Private Network zVPN over Internett yMellom avdelingskontorer yMellom hjemmekontor og jobb yMellom leverandør og kunde

47 IPSec sikkerhetstjenester zKonfidensialitet yInformasjonen krypteres zIntegritet yEn veis hash funksjon zAutentisering yMAC (hash + hemmelighet) yDigital signatur

48 To sikkerhetsprotokoller zAH (Authentication Header) RFC2402 yData Integritet yAutentisering zESP (Encapsulating Security Payload)RFC 2406 yData Integritet yAutentisering yKonfidensialitet

49 To former for IPSec : Transport and Tunnel Mode New IP Header IPSec Header Data IP Header Data Tunnel Mode Original IP Header IPSec Header Transport Mode Original IP Header Data Optional Encryption Outer IP Header Inner IP Header

50 Eksempel : Transport Mode IPSecDataIP Header Untrusted Network Internet IPSec Host

51 IP HeaderIPSecDataIP Header Eksempel : Tunnel Mode IPSec System Untrusted Network Internet

52 Tunnel Mode Authentication / Integrity Encrypted New IP Header ESP Original IP Header Original IP Header Header ESP Authentication / Integrity Encrypted Authentication / Integrity New IP Header AH Original IP Header Original IP Header Header AH Authentication / Integrity Transport Mode ESPAH Beskyttelse avhengig av “Mode” og Protokoll

53 Security Parameters Index (identifiserer SA) Next HeaderReservedPayload Length Sequence Number (Antireplay) PayloadIP Header 32 bits Authentication Header (AH) AH Authentication Authentication Data (resultat av f.eks HMAC-MD5) 8 bits

54 Encapsulating Security Payload (ESP) Security Parameters Index (SPI) Sequence Number 32 bits Authentication Data (variable size) PayloadIP HeaderESP Header Authentication Encryption ESP Auth Next HeaderPad Length Padding Payload Data 8 bits ESP Trailer

55 SA- Security Association zSA = All informasjon som trengs for å etablere en sikker forbindelse yValg av sikkerhetsmekanismer: xESP or AH beskyttelse xKrypteringsalgoritme xHash funksjon xValg av autentiseringsmetode yAutentisering av partene yValg av krypterings- og autentiseringsnøkler

56 Security Databases zTo Security Databases ifm IPSec ySecurity Association Database (SAD) Benyttes på en allerede oppsatt forbindelse ySecurity Policy Database (SPD) Definerer den policy som skal benyttes mellom f.eks to subnett, eller to IP-adresser.

57 SAD - Security Association Database zFor hver SA (Security Association): yIdentifier : xOuter destination IP-address xSecurity Protocol (AH eller ESP) xSPI (Security Parameter Index) yParameters xAuthentication algorithm and keys xEncryption algorithm and keys xLifetime (hvor lenge kryptonøklene er gyldige) xSecurity Protocol Mode (tunnel or transport) xAnti-replay service (sekvensnummer)

58 SPD - Security Policy Database zHver regel inneholder: ySelectors: xDestination IP Address xSource IP Address xName xTransport Layer Protocol (protocol number) xSource and Destination Ports yThe policy : xDiscard the packet, bypass or process IPSec xFor IPSec Processing : •Security Protocol and Mode •Enabled Services (anti-replay, authentication, encryption) •Algorithms (for authentication and/or encryption)

59 Security Association Etablering zSecurity Associations forhandles: yManuelt xIPSec kun mellom et lite antall maskiner yAutomatisk xSkalerer bra zAutomatisk forhandling om SA er spesifisert i: yISAKMPRFC 2408 yIKE (Internet Key Exchange)RFC 2409

60 Automatisk SA forhandling zIKE definerer to faser: zFase 1 : Etablering av en sikker forbindelse mellom partene xKalles ISAKMP Security Association xISAKMP SA negotiation xNøkkelutveksling xAutentisering zFase 2 : IPSec SA forhandling i ISAKMP kanalen som ble etablert i fase 1

61 Internet Key Exchange zFase 1: yMain mode xTo meldinger for algoritmer og autentiseringsmetoder xTo meldinger for utveksling av offentlige Diffie-Hellman nøkler xTo meldinger for autentisering yAggressive mode (raskere enn Main mode) xIngen beskyttelse av autentiseringen zFase 2 yQuick mode xOprettelse av IPSec SA

62 Diffie-Hellman: Nøkkelutvekslingsprotokoll zProtokoll som benyttes til å utveksle en DH hemmelig nøkkel mellom partene zDenne nøkkelen benyttes så til symmetrisk kryptering zSymmetrisk kryptering er 100 ganger raskere i SW og 1000 ganger raskere i HW enn asymmetrisk kryptering

63 Diffie-Hellman DH private key DH private key Alice’s DH public key Bob’s DH public key Bob’s DH public key Alice’s DH public key DH Secret key Bob Alice

64 Cisco - IPSec zinbound ESP SA: spi: 0x62910BD( ) transform: esp-des esp-sha-hmac, in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: telenor-map sa timing: remaining key lifetime (k/sec): ( /2780) IV size: 8 bytes replay detection support: Y zoutbound ESP SA: spi: 0x217B2368( ) transform: esp-des esp-sha-hmac, in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: telenor-map sa timing: remaining key lifetime (k/sec): ( /2780) IV size: 8 bytes replay detection support: Y

65 IPSec og brannmurer zIPSec AH - IP protocol ID 51 zIPSec ESP - IP protocol ID 50 zIKE - UDP port 500


Laste ned ppt "Datakommunikasjon Høsten 2001 Forelesning nr 12, 12. november 2001 Repitisjon + IPSec."

Liknende presentasjoner


Annonser fra Google