Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Datakom høsten 20021 Datakommunikasjon høsten 2002 Forelesning nr 9, mandag 14. oktober Sikkerhet.

Liknende presentasjoner


Presentasjon om: "Datakom høsten 20021 Datakommunikasjon høsten 2002 Forelesning nr 9, mandag 14. oktober Sikkerhet."— Utskrift av presentasjonen:

1 Datakom høsten Datakommunikasjon høsten 2002 Forelesning nr 9, mandag 14. oktober Sikkerhet

2 Datakom høsten Øvingsoppgaver Oppgave 1 To noder A og B benytter sliding window protokoll med 4 bits sekvensnr. Vindusstørrelse=12 Vis vindussituasjonen for følgende: a)Før A sender noen rammer. b)Etter at A har sendt ramme 0, 1, 2, 3, 4 og 5 og B har bekreftet mottak av 0, 1, 2 og 3. c)Etter at A har sendt ramme 6 og 7, og B har bekreftet 4. Oppgave 2 Du har fått tildelt en IP adresse: med Classless /26. Du skal koble sammen 6 subnett ved hjelp av en ruter. Tegn opp og skriv IP subnettsadresse på de 6 subnettene. Hvor mange maskiner kan du koble på hvert subnett? Hvor mange ledige subnett id-er blir det?

3 Datakom høsten Øvingsoppgaver Oppgave 3 a)Forklar forskjellen på en svitsj og en ruter. b)Forklar hvordan en bro (bridge) fungerer. c)Hva benytter du hvis du skal sammenkoble to subnett? Forklar hvorfor.

4 Datakom høsten Sikkerhet zAutentisering (identifikasjon) zAksesskontroll (aksess til ressurser) zKonfidensialitets (informasjon holdes hemmelig) zIntegritetstjeneste (data skal være korrekte) zTilgjengelighet (informasjonen skal være tilgjengelig for de som er autorisert) zCIA – Confidentiality Integrity Availability

5 Datakom høsten Symmetrisk kryptering Cleartext Cleartext Encryption Algorithm Ciphertext Ciphertext EncipherDecipher Secret Key BOB og ALICE benytter samme hemmelige nøkkel Bob Alice

6 Datakom høsten Asymmetrisk kryptering One Key to Encipher Another Key to Encipher Cleartext Cleartext Encryption Algorithm Ciphertext Ciphertext EncipherDecipher BOB og ALICE benytter forskjellige nøkler BOB benytter ALICE sin offentlige nøkkel ALICE benytter sin private nøkkel Alice Bob

7 Datakom høsten HASH funksjon zEn hash funksjon tar som input en vilkårlig melding med variabel lengde zOutput er alltid en melding med fast lengde zSHA-1 (Secure Hash Function) Output er alltid 160 bits zMD5 (Message Digest no 5) Output er alltid

8 Datakom høsten Krav til HASH funksjon zMå kunne benyttes på en datablokk av vilkårlig størrelse zMå produsere en melding med fast lengde uavhengig av lengden av input zDet må ikke være mulig å gjenskape den opprinnelige teksten basert på resultatet av hash funksjonen zTo forskjellige meldinger må ikke kunne gi samme resultat fra hash funksjonen

9 Datakom høsten En veis hash (1) Tekst Digest Hash Algoritme Melding sendt til Alice Bob

10 Datakom høsten En veis hash (2) Mottatt tekst Digest Hvis = Mottatt tekst OK! Digest Hash Algoritme Alice Sikrer integritet, dvs at teksten ikke er endret under overføring

11 Datakom høsten Autentisering Message Authentication Code zHvordan vet Alice at meldingen kommer fra Bob ? zBob kombinerer hash funksjonen med symmetrisk eller asymmetrisk kryptering z(Hash + kryptering) zResultat = MAC, Message Authentication Code Hash Algorithm Secret key +

12 Datakom høsten Secret key Autentisering (Felles hemmelig nøkkel) MAC Hash Algorithm Secret key Melding + MAC Melding som sendes Alice Bob

13 Datakom høsten Secret key Autentisering (Felles hemmelig nøkkel) MAC Melding MAC Hvis = OK ! MAC Hash Algorithm Melding + Secret key Alice

14 Datakom høsten Public key Autentisering (signatur, bruk av privat og offentlig nøkkel) Digest Hash Algorithm Tekst *  ^1 ’  Melding sent til Alice *  ^1 ’  Encryption Bob’s Private key Bob

15 Datakom høsten Public key Autentisering (signatur, bruk av privat og offentlig nøkkel) Digest Tekst *  ^1 ’  Hvis = OK ! Digest Hash Algorithm Decryption Bob’s Public key Alice

16 Datakom høsten IPSec – IP Security zSikkerhetsmekanisme for beskyttelse av VPN zVPN – Virtual Private Network zVPN over Internett yMellom avdelingskontorer yMellom hjemmekontor og jobb yMellom leverandør og kunde

17 Datakom høsten IPSec sikkerhetstjenester zKonfidensialitet yInformasjonen krypteres zIntegritet yEn veis hash funksjon zAutentisering yMAC (hash + hemmelighet) yDigital signatur

18 Datakom høsten To sikkerhetsprotokoller zAH (Authentication Header) RFC2402 yData Integritet yAutentisering zESP (Encapsulating Security Payload)RFC 2406 yData Integritet yAutentisering yKonfidensialitet

19 Datakom høsten To former for IPSec : Transport and Tunnel Mode New IP Header IPSec Header Data IP Header Data Tunnel Mode Original IP Header IPSec Header Transport Mode Original IP Header Data Optional Encryption Outer IP Header Inner IP Header

20 Datakom høsten Eksempel : Transport Mode IPSecDataIP Header Untrusted Network Internet IPSec Host

21 Datakom høsten IP HeaderIPSecDataIP Header Eksempel : Tunnel Mode IPSec System Untrusted Network Internet

22 Datakom høsten Tunnel Mode Authentication / Integrity Encrypted New IP Header ESP Original IP Header Original IP Header Header ESP Authentication / Integrity Encrypted Authentication / Integrity New IP Header AH Original IP Header Original IP Header Header AH Authentication / Integrity Transport Mode ESPAH Beskyttelse avhengig av “Mode” og Protokoll

23 Datakom høsten Security Parameters Index (identifiserer SA) Next HeaderReservedPayload Length Sequence Number (Antireplay) PayloadIP Header 32 bits Authentication Header (AH) AH Authentication Authentication Data (resultat av f.eks HMAC-MD5) 8 bits

24 Datakom høsten Encapsulating Security Payload (ESP) Security Parameters Index (SPI) Sequence Number 32 bits Authentication Data (variable size) PayloadIP HeaderESP Header Authentication Encryption ESP Auth Next HeaderPad Length Padding Payload Data 8 bits ESP Trailer

25 Datakom høsten SA- Security Association zSA = All informasjon som trengs for å etablere en sikker forbindelse yValg av sikkerhetsmekanismer: xESP or AH beskyttelse xKrypteringsalgoritme xHash funksjon xValg av autentiseringsmetode yAutentisering av partene yValg av krypterings- og autentiseringsnøkler

26 Datakom høsten Security Databases zTo Security Databases ifm IPSec ySecurity Association Database (SAD) Benyttes på en allerede oppsatt forbindelse ySecurity Policy Database (SPD) Definerer den policy som skal benyttes mellom f.eks to subnett.

27 Datakom høsten SAD - Security Association Database zFor hver SA (Security Association): yIdentifier : xOuter destination IP-address xSecurity Protocol (AH eller ESP) xSPI (Security Parameter Index) yParameters xAuthentication algorithm and keys xEncryption algorithm and keys xLifetime (hvor lenge kryptonøklene er gyldige) xSecurity Protocol Mode (tunnel or transport) xAnti-replay service (sekvensnummer)

28 Datakom høsten SPD - Security Policy Database zHver regel inneholder: ySelectors: xDestination IP Address xSource IP Address xName xTransport Layer Protocol (protocol number) xSource and Destination Ports yThe policy : xDiscard the packet, bypass or process IPSec xFor IPSec Processing : Security Protocol and Mode Enabled Services (anti-replay, authentication, encryption) Algorithms (for authentication and/or encryption)

29 Datakom høsten Security Association Etablering zSecurity Associations forhandles: yManuelt xIPSec kun mellom et lite antall maskiner yAutomatisk xSkalerer bra zAutomatisk forhandling om SA er spesifisert i: yISAKMPRFC 2408 yIKE (Internet Key Exchange)RFC 2409

30 Datakom høsten Automatisk SA forhandling zIKE definerer to faser: zFase 1 : Etablering av en sikker forbindelse mellom partene xKalles ISAKMP Security Association xISAKMP SA negotiation xNøkkelutveksling xAutentisering zFase 2 : IPSec SA forhandling i ISAKMP kanalen som ble etablert i fase 1

31 Datakom høsten Internet Key Exchange zFase 1: yMain mode xTo meldinger for algoritmer og autentiseringsmetoder xTo meldinger for utveksling av offentlige Diffie-Hellman nøkler xTo meldinger for autentisering yAggressive mode (raskere enn Main mode) xIngen beskyttelse av autentiseringen zFase 2 yQuick mode xOprettelse av IPSec SA

32 Datakom høsten Diffie-Hellman: Nøkkelutvekslingsprotokoll zProtokoll som benyttes til å utveksle en DH hemmelig nøkkel mellom partene zDenne nøkkelen benyttes så til symmetrisk kryptering zSymmetrisk kryptering er 100 ganger raskere i SW og 1000 ganger raskere i HW enn asymmetrisk kryptering

33 Datakom høsten Diffie-Hellman DH private key DH private key Alice’s DH public key Bob’s DH public key Bob’s DH public key Alice’s DH public key DH Secret key Bob Alice

34 Datakom høsten Cisco - IPSec zinbound ESP SA: spi: 0x62910BD( ) transform: esp-des esp-sha-hmac, in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: telenor-map sa timing: remaining key lifetime (k/sec): ( /2780) IV size: 8 bytes replay detection support: Y zoutbound ESP SA: spi: 0x217B2368( ) transform: esp-des esp-sha-hmac, in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: telenor-map sa timing: remaining key lifetime (k/sec): ( /2780) IV size: 8 bytes replay detection support: Y

35 Datakom høsten IPSec og brannmurer zIPSec AH - IP protocol ID 51 zIPSec ESP - IP protocol ID 50 zIKE - UDP port 500


Laste ned ppt "Datakom høsten 20021 Datakommunikasjon høsten 2002 Forelesning nr 9, mandag 14. oktober Sikkerhet."

Liknende presentasjoner


Annonser fra Google