IPSec og VPN

IP Security - grunnidé Sikkerhetsfunksjoner finnes ikke i alle applikasjoner, selv om mange har det; Web, e-post, klient/tjener-løsninger, etc. Ved å implementere en generell sikkerhetsfunksjon på IP-nivå sikres i en viss grad også applikasjoner som i utgangspunktet ikke har et eget sikkerhetssystem

IP Security – hva sikres? Kommunikasjon over LAN, WAN og internett All IP-trafikk kan krypteres og/eller autentiseres

IP Security – hvorfor? Mange problemer innen nettverkskommunikasjon ville være lett løst dersom det fantes kryptering på transportnivå av internett-trafikk. IPSec er et sikkerhetssystem som var utviklet til bruk i IPv6, men mekanismene kan også brukes i IPv4. IPSec gir kryptering på IP nivået. Dette betyr at typiske TCP/UDP angrep (spoofing, sequence guessing osv) ikke ville kunne skje, da angripere ikke vil se innholdet i pakkene som sendes.

Bruksområder Sikker kommunikasjon med underavdelinger over Internett Driftssensitiv informasjon kan sendes via Internett uten å kunne avlyttes Sikker fjernaksess over Internett Oppringt samband eller bredbånd Etablere ekstranett eller intranettfunksjoner Mot partnere eller andre organisasjoner Forbedre sikkerhet ved elektronisk handel

Fordeler ved IPSec IPSec i en FW sikrer trafikken som ”krysser grensen” IPSec i en FW sikrer mot innbrudd hvis: Alle som aksesserer nettet benytter IP Hvis FW er eneste vei inn IPSec kan lett implementeres i eksisterende systemer Påvirker ikke eksisterende kommunikasjons-applikasjoner hos brukerne

Fordeler ved IPSec – forts. IPSec kan være transparent for sluttbruker Ingen nøkler må distribueres fysisk, eller fjernes om brukeren slutter Ingen nye sikkerhetsfunksjoner krever opplæring IPSec kan tilby individuell sikkerhet om nødvendig Sikrer hemmelig informasjon innad i org.

Nettverksbruk av IPSec IPSec kan benyttes for å sikre nettverkets integritet En ruter kan kun kommunisere med andre rutere dersom disse gjensidig kan autoriseres Ruteren som videresender pakker kan identifiseres som den som mottok pakken i utgangspunktet Oppdatering av ruter kan ikke forfalskes

IPSec tjenester Adgangskontroll Autentisering av opprinnelsessted Forkasting av feilsendte pakker Konfidensialitet (kryptering) Begrenset skjuling av trafikkflyt Vis til tabell 16.1 – IPSec services; Tegn opp

Security Associations (SA) Et enveis forhold mellom sender og mottaker for bruk av sikkerhetstjenester I et likeverdig forhold kreves 2 SA Et SA er identifisert ved tre parametere; Security Parameters Index IP Destination Address Security Protocol Identifier

Security Association Database (SAD) Inneholder informasjon om alle SA innenfor den aktuelle implementasjonen av IPSec

Security Policy Database (SPD) Kobler en rekke regler for trafikk opp mot SAD, via en rekke kriterier Brukes for å filtrere trafikk som er relatert til en spesifikk SA Kriterier: Destinasjonsadresse, avsenderadresse, BrukerID, Data Sensitivity Level, Transportprotokoll, IPSec protokoll, avsender- og mottakerporter, IPv6 klasse, IPv6 flow label, IPv4 Type of Service

Authentication Header (AH) Muliggjør autentisering og sikrer dataintegritet for IP Autentisering basert på MAC – krever at partene deler en hemmelig nøkkel Tegn opp headeren

Encapsulating Security Payload Muliggjør konfidensialitet og evt. samme autentiseringsmuligheter som AH Kryptering mulig med et antall algoritmer; Three-key Triple DES, RC5, IDEA, Three-key Triple IDEA, CAST, Blowfish Autentisering med MAC Tegn opp headeren

IPSec protokollmodi Transport Tunnel AH ESP ESP m/aut. Autentiserer IP data og utvalgte deler av hoder (IPv4 og IPv6 extension headere) Autentiserer hele indre IP-pakke og utvalgte deler av ytre IP-hoder (IPv4 og IPv6 extension headere) ESP Krypterer IP data og alle IPv6 ext. headere som følger etter ESP hodet Krypterer indre IP pakke ESP m/aut. Krypterer IP data og alle IPv6 ext. headere som følger etter ESP hodet. Autentiserer IP data men ikke IP hodet Krypterer og autentiserer indre IP pakke Transportmodus: sikrer dataene inne i IP-datagrammet Tunnellmodus: sikrer hele datagrammet ved å innkapsle en kryptert versjon i et ytre IP-datagram

Bruk av VPN Tegn opp headeren

Grunnleggende krav til VPN Bruker-autentisering. Løsningen må verifisere identiteten til VPN klienten og bare gi tilgang til autoriserte brukere. Må også gi muligheter for auditing av påloggere. Bruk av adresser. Løsningen må gi en VPN klient en adresse på intranettet og må også forsikres at adressene som er brukt på intranettet forblir private. Datakryptering. Data som overføres på det offentlige nettverket må krypteres. Nøkkeladministrering. Løsninga må inneholde generering og fornying av nøkler for krypterte data. Tegn opp headeren