Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

1 IPSec og VPN. 2 IP Security - grunnidé Sikkerhetsfunksjoner finnes ikke i alle applikasjoner, selv om mange har det;  Web, e-post, klient/tjener-løsninger,

Liknende presentasjoner


Presentasjon om: "1 IPSec og VPN. 2 IP Security - grunnidé Sikkerhetsfunksjoner finnes ikke i alle applikasjoner, selv om mange har det;  Web, e-post, klient/tjener-løsninger,"— Utskrift av presentasjonen:

1 1 IPSec og VPN

2 2 IP Security - grunnidé Sikkerhetsfunksjoner finnes ikke i alle applikasjoner, selv om mange har det;  Web, e-post, klient/tjener-løsninger, etc. Ved å implementere en generell sikkerhetsfunksjon på IP-nivå sikres i en viss grad også applikasjoner som i utgangspunktet ikke har et eget sikkerhetssystem

3 3 IP Security – hva sikres? Kommunikasjon over LAN, WAN og internett All IP-trafikk kan krypteres og/eller autentiseres

4 4 IP Security – hvorfor? Mange problemer innen nettverkskommunikasjon ville være lett løst dersom det fantes kryptering på transportnivå av internett-trafikk. IPSec er et sikkerhetssystem som var utviklet til bruk i IPv6, men mekanismene kan også brukes i IPv4. IPSec gir kryptering på IP nivået. Dette betyr at typiske TCP/UDP angrep (spoofing, sequence guessing osv) ikke ville kunne skje, da angripere ikke vil se innholdet i pakkene som sendes.

5 5 Bruksområder Sikker kommunikasjon med underavdelinger over Internett  Driftssensitiv informasjon kan sendes via Internett uten å kunne avlyttes Sikker fjernaksess over Internett  Oppringt samband eller bredbånd Etablere ekstranett eller intranettfunksjoner  Mot partnere eller andre organisasjoner Forbedre sikkerhet ved elektronisk handel

6 6 Fordeler ved IPSec IPSec i en FW sikrer trafikken som ”krysser grensen” IPSec i en FW sikrer mot innbrudd hvis:  Alle som aksesserer nettet benytter IP  Hvis FW er eneste vei inn IPSec kan lett implementeres i eksisterende systemer  Påvirker ikke eksisterende kommunikasjons- applikasjoner hos brukerne

7 7 Fordeler ved IPSec – forts. IPSec kan være transparent for sluttbruker  Ingen nøkler må distribueres fysisk, eller fjernes om brukeren slutter  Ingen nye sikkerhetsfunksjoner krever opplæring IPSec kan tilby individuell sikkerhet om nødvendig  Sikrer hemmelig informasjon innad i org.

8 8 Nettverksbruk av IPSec IPSec kan benyttes for å sikre nettverkets integritet  En ruter kan kun kommunisere med andre rutere dersom disse gjensidig kan autoriseres  Ruteren som videresender pakker kan identifiseres som den som mottok pakken i utgangspunktet  Oppdatering av ruter kan ikke forfalskes

9 9 IPSec tjenester Adgangskontroll Autentisering av opprinnelsessted Forkasting av feilsendte pakker Konfidensialitet (kryptering) Begrenset skjuling av trafikkflyt

10 10 Security Associations (SA) Et enveis forhold mellom sender og mottaker for bruk av sikkerhetstjenester I et likeverdig forhold kreves 2 SA Et SA er identifisert ved tre parametere;  Security Parameters Index  IP Destination Address  Security Protocol Identifier

11 11 Security Association Database (SAD) Inneholder informasjon om alle SA innenfor den aktuelle implementasjonen av IPSec

12 12 Security Policy Database (SPD) Kobler en rekke regler for trafikk opp mot SAD, via en rekke kriterier Brukes for å filtrere trafikk som er relatert til en spesifikk SA Kriterier:  Destinasjonsadresse, avsenderadresse, BrukerID, Data Sensitivity Level, Transportprotokoll, IPSec protokoll, avsender- og mottakerporter, IPv6 klasse, IPv6 flow label, IPv4 Type of Service

13 13 Authentication Header (AH) Muliggjør autentisering og sikrer dataintegritet for IP Autentisering basert på MAC – krever at partene deler en hemmelig nøkkel

14 14 Encapsulating Security Payload Muliggjør konfidensialitet og evt. samme autentiseringsmuligheter som AH Kryptering mulig med et antall algoritmer;  Three-key Triple DES, RC5, IDEA, Three-key Triple IDEA, CAST, Blowfish Autentisering med MAC

15 15 IPSec protokollmodi TransportTunnel AH Autentiserer IP data og utvalgte deler av hoder (IPv4 og IPv6 extension headere) Autentiserer hele indre IP-pakke og utvalgte deler av ytre IP- hoder (IPv4 og IPv6 extension headere) ESP Krypterer IP data og alle IPv6 ext. headere som følger etter ESP hodet Krypterer indre IP pakke ESP m /aut. Krypterer IP data og alle IPv6 ext. headere som følger etter ESP hodet. Autentiserer IP data men ikke IP hodet Krypterer og autentiserer indre IP pakke

16 16 Bruk av VPN

17 17 Grunnleggende krav til VPN Bruker-autentisering. Løsningen må verifisere identiteten til VPN klienten og bare gi tilgang til autoriserte brukere. Må også gi muligheter for auditing av påloggere. Bruk av adresser. Løsningen må gi en VPN klient en adresse på intranettet og må også forsikres at adressene som er brukt på intranettet forblir private. Datakryptering. Data som overføres på det offentlige nettverket må krypteres. Nøkkeladministrering. Løsninga må inneholde generering og fornying av nøkler for krypterte data.


Laste ned ppt "1 IPSec og VPN. 2 IP Security - grunnidé Sikkerhetsfunksjoner finnes ikke i alle applikasjoner, selv om mange har det;  Web, e-post, klient/tjener-løsninger,"

Liknende presentasjoner


Annonser fra Google