Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

IPSec og VPN.

Liknende presentasjoner


Presentasjon om: "IPSec og VPN."— Utskrift av presentasjonen:

1 IPSec og VPN

2 IP Security - grunnidé Sikkerhetsfunksjoner finnes ikke i alle applikasjoner, selv om mange har det; Web, e-post, klient/tjener-løsninger, etc. Ved å implementere en generell sikkerhetsfunksjon på IP-nivå sikres i en viss grad også applikasjoner som i utgangspunktet ikke har et eget sikkerhetssystem

3 IP Security – hva sikres?
Kommunikasjon over LAN, WAN og internett All IP-trafikk kan krypteres og/eller autentiseres

4 IP Security – hvorfor? Mange problemer innen nettverkskommunikasjon ville være lett løst dersom det fantes kryptering på transportnivå av internett-trafikk. IPSec er et sikkerhetssystem som var utviklet til bruk i IPv6, men mekanismene kan også brukes i IPv4. IPSec gir kryptering på IP nivået. Dette betyr at typiske TCP/UDP angrep (spoofing, sequence guessing osv) ikke ville kunne skje, da angripere ikke vil se innholdet i pakkene som sendes.

5 Bruksområder Sikker kommunikasjon med underavdelinger over Internett
Driftssensitiv informasjon kan sendes via Internett uten å kunne avlyttes Sikker fjernaksess over Internett Oppringt samband eller bredbånd Etablere ekstranett eller intranettfunksjoner Mot partnere eller andre organisasjoner Forbedre sikkerhet ved elektronisk handel

6 Fordeler ved IPSec IPSec i en FW sikrer trafikken som ”krysser grensen” IPSec i en FW sikrer mot innbrudd hvis: Alle som aksesserer nettet benytter IP Hvis FW er eneste vei inn IPSec kan lett implementeres i eksisterende systemer Påvirker ikke eksisterende kommunikasjons-applikasjoner hos brukerne

7 Fordeler ved IPSec – forts.
IPSec kan være transparent for sluttbruker Ingen nøkler må distribueres fysisk, eller fjernes om brukeren slutter Ingen nye sikkerhetsfunksjoner krever opplæring IPSec kan tilby individuell sikkerhet om nødvendig Sikrer hemmelig informasjon innad i org.

8 Nettverksbruk av IPSec
IPSec kan benyttes for å sikre nettverkets integritet En ruter kan kun kommunisere med andre rutere dersom disse gjensidig kan autoriseres Ruteren som videresender pakker kan identifiseres som den som mottok pakken i utgangspunktet Oppdatering av ruter kan ikke forfalskes

9 IPSec tjenester Adgangskontroll Autentisering av opprinnelsessted
Forkasting av feilsendte pakker Konfidensialitet (kryptering) Begrenset skjuling av trafikkflyt Vis til tabell 16.1 – IPSec services; Tegn opp

10 Security Associations (SA)
Et enveis forhold mellom sender og mottaker for bruk av sikkerhetstjenester I et likeverdig forhold kreves 2 SA Et SA er identifisert ved tre parametere; Security Parameters Index IP Destination Address Security Protocol Identifier

11 Security Association Database (SAD)
Inneholder informasjon om alle SA innenfor den aktuelle implementasjonen av IPSec

12 Security Policy Database (SPD)
Kobler en rekke regler for trafikk opp mot SAD, via en rekke kriterier Brukes for å filtrere trafikk som er relatert til en spesifikk SA Kriterier: Destinasjonsadresse, avsenderadresse, BrukerID, Data Sensitivity Level, Transportprotokoll, IPSec protokoll, avsender- og mottakerporter, IPv6 klasse, IPv6 flow label, IPv4 Type of Service

13 Authentication Header (AH)
Muliggjør autentisering og sikrer dataintegritet for IP Autentisering basert på MAC – krever at partene deler en hemmelig nøkkel Tegn opp headeren

14 Encapsulating Security Payload
Muliggjør konfidensialitet og evt. samme autentiseringsmuligheter som AH Kryptering mulig med et antall algoritmer; Three-key Triple DES, RC5, IDEA, Three-key Triple IDEA, CAST, Blowfish Autentisering med MAC Tegn opp headeren

15 IPSec protokollmodi Transport Tunnel AH ESP ESP m/aut.
Autentiserer IP data og utvalgte deler av hoder (IPv4 og IPv6 extension headere) Autentiserer hele indre IP-pakke og utvalgte deler av ytre IP-hoder (IPv4 og IPv6 extension headere) ESP Krypterer IP data og alle IPv6 ext. headere som følger etter ESP hodet Krypterer indre IP pakke ESP m/aut. Krypterer IP data og alle IPv6 ext. headere som følger etter ESP hodet. Autentiserer IP data men ikke IP hodet Krypterer og autentiserer indre IP pakke Transportmodus: sikrer dataene inne i IP-datagrammet Tunnellmodus: sikrer hele datagrammet ved å innkapsle en kryptert versjon i et ytre IP-datagram

16 Bruk av VPN Tegn opp headeren

17 Grunnleggende krav til VPN
Bruker-autentisering. Løsningen må verifisere identiteten til VPN klienten og bare gi tilgang til autoriserte brukere. Må også gi muligheter for auditing av påloggere. Bruk av adresser. Løsningen må gi en VPN klient en adresse på intranettet og må også forsikres at adressene som er brukt på intranettet forblir private. Datakryptering. Data som overføres på det offentlige nettverket må krypteres. Nøkkeladministrering. Løsninga må inneholde generering og fornying av nøkler for krypterte data. Tegn opp headeren


Laste ned ppt "IPSec og VPN."

Liknende presentasjoner


Annonser fra Google