IP امنيت )IPSec( از کتاب13 مبتنی بر فصل Network Security, Principles and Practice,2nd Ed. حمید رضا شهریاری:ویرایش شده توسط http://www.fata.ir مركز امنبت شبكه شريف http://mehr.sharif.edu/~shahriari 1 فهرست مطالب مقدمه معماری IPSec سرويس های IPSec مجمع امنيتي()SA حالتهای انتقال بستهها AH ESP تركيب SAها مديريت كليد مركز امنبت شبكه شريف 2 مقدمه -مثالی از TCP/IP مركز امنبت شبكه شريف 3 IPV4 4 Sharif Network Security Center مقدمه راه حل های امنيتی وابسته به كاربرد(تاكنون) S/MIMEو : PGPامنيت پست الكترونيكي : Kerberosامنيت بين كاربر-كارگزار(احراز هويت) : SSLايجاد يک کانال امن در وب نياز به امنيت در سطح IP محرمانگی محتوای بسته های IP هويت شناس ی فرستنده و گيرنده بسته ها مركز امنبت شبكه شريف 5 مقدمه IPSecیک پروتکل تنها نیست بلکه مجموعه ای از الگوریتمهای امنیتی و چارچوبی کلی فراهم می کند که به کمک آن ارتباط امنی برقرار کرد. سرويسهای امنيتی فراهم شده توسط IPSec هويت شناس ی(به همراه كنترل جامعيت داده ها) محرمانگی بسته ها مديريت كليد (تبادل امن كليد) مركز امنبت شبكه شريف 6 مقدمه نمونه كاربردهای IPSec ايجاد VPNبرای شعبه های مختلف يك سازمان از طريق اينترنت دسترس ی امن كارمندان شركت به منابع شبكه از طريق اینترنت امكان ارتباط امن بين چند سازمان به وجود آوردن خدمات امنيتی برای كاربردهای ديگر(مثل تجارت الكترونيك) مركز امنبت شبكه شريف 7 IPSec 8 Sharif Network Security Center مقدمه مزايای استفاده از IPSec تامين امنيت قوی بين داخل و خارج LANدر صورت بكارگيری در راهيابها و حفاظ ها (Firewallها) عدم سربار رمزنگاری در نقاط انتهایی شفافيت از نظر كاربران شفافيت از ديد برنامه های كاربردی اليه های باالتر ايجاد ارتباط امن بين كاركنان سازمان از خارج به داخل مركز امنبت شبكه شريف 9 معماری :IPSecویژگیها ويژگیها دارای توصيف نسبتا مشكل الزامی در IPv6و اختياری در IPv4 در برگرفتن موارد زير: پروتكل IPSecدر سرآيند ()Headerهای توسعه يافته و بعد از سرآيند اصلی IPپياده سازی می شود مستندات IPSecبسیار حجیم بوده و به صورت زیر دسته بندی شده است: Architecture : (ESP) Encapsulating Security Payload رمزنگاری بسته ها (احراز هويت به صورت اختياري) : (AH) Authentication Header تشخيص هويت بسته ها مديريت كليد :تبادل امن كليدها الگوریتم های رمزنگاری و هویت شناس ی مركز امنبت شبكه شريف 10 معماری :IPSecسرويس ها سرويس های ارائه شده: كنترل دسترس ي تضمين صحت داده ها در ارتباط Connectionless احراز هويت منبع داده ها ()Data Origin تشخيص بسته های دوباره ارسال شده و رد آنها ()Replay Attack محرمانگی بستهها محرمانگی جريان ترافيك مركز امنبت شبكه شريف 11 سرويس ها:IPSec معماری 12 Sharif Network Security Center معماری :IPSec Association Security تعريف :مجمع امنيتي( )Security Associationيك مفهوم كليدی در مكانيزمهای احراز هويت و محرمانگی برای IPبوده و يك رابطه يك طرفه بين فرستنده و گيرنده بسته ايجاد می كند. SA در IPبه نوعی معادل Connectionدر TCPاست مركز امنبت شبكه شريف 13 :IPSec معماری Association Security : ويژگيها : پارامتر تعيين می شود3 بصورت يكتا باSA يك يك رشته بيتی نسبت:)SPI( Security Parameters Index SA داده شده به SA آدرس مقصد نهايی: IP Destination Address ياAH بهSA بيانگر تعلق: Security Protocol Identifier ESP مركز امنبت شبكه شريف 14 :IPSec معماری Association Security SA پارامترهای Sequence Number Counter Sequence Counter Overflow Anti Replay Windows AH Information ESP Information SA Lifetime IPSec Protocol Mode Maximum Transmission Unit مركز امنبت شبكه شريف 15 معماری :IPSec حالتهای انتقال بستهها در هر دوی AHو ESPدو حالت انتقال وجود دارد: حالت انتقال)(Transport Mode تغييرات تنها روی محتوای بسته صورت می گيرد ،بدون تغيير سرآيند IP حالت تونل )(Tunnel Mode اعمال تغييرات روی كل بسته (IPسرآيند )Payload+و فرستادن نتيجه به عنوان يك بسته جديد مركز امنبت شبكه شريف 16 معماری :IPSec حالتهای انتقال بستهها حالت انتقال در كاربردهای انتها به انتها( )end-to-endمثل كارگزار/كارفرما استفاده ميشود : ESPرمزنگاری (ضروری) و صحت (اختياری) Payloadبسته : AHصحت Payloadبسته و قسمتهای انتخاب شده سرآيند بسته مركز امنبت شبكه شريف 17 معماری :IPSec حالتهای انتقال بستهها حالت تونل مورد استفاده در ارتباط Gatewayبه Gateway هيچ مسيرياب ( )routerميانی قادر به تشخيص سرآيند داخلی نيست مركز امنبت شبكه شريف 18 Functionality of Modes 19 Sharif Network Security Center Authentication Header )(AH Authentication Header تضمين صحت و احراز هويت بسته های IP تامين سرويس صحت دادهها با استفاده از MAC HMAC-MD5-96يا HMAC-SHA-1-96 طرفين نياز به توافق روی يك كليد مشترك متقارن دارند مركز امنبت شبكه شريف 20 Authentication Header 21 Sharif Network Security Center AH فيلدهای : AH 8(Next Headerبيت) :نوع سرآيند بعدی موجود در بسته 8(PayLoad Lengthبيت) :بيانگر طول AH 16(Reservedبيت) :رزرو شده برای استفاده های آينده 32(Sec. Param. Indexبيت) :برای تعيين SPIمربوط به SA 32(Sequence Numberبيت) :شمارنده (Authentication Dataمتغير) :دربرگيرنده MACيا ICV ()Integrity Check Value مركز امنبت شبكه شريف 22 AH محاسبه MAC طول پيش فرض 96بيت( 3تا 32بیتی) اولين 96بيت خروجی الگوريتم HMAC HMAC-MD5يا HMAC-SHA-1 محاسبه MACروی مقادير زير انجام می گيرد سرآيند نامتغير ،IPسرآيند نامتغير AHو محتوای بسته قسمتهايی از سرآيند كه احتماال در انتقال تغيير ميكنند(مانند ،)TTLدر محاسبه MACصفر منظور می شوند. آدرسهای فرستنده و گيرنده نيز در محاسبه MACدخيل هستند(جهت جلوگيری از حمله جعل )IP مركز امنبت شبكه شريف 23 AH حالتهای انتقال و تونل در : AH حالت انتقال( : )Transportبرای احراز هويت مستقيم بين كامپيوتر كاربر و كارگزار حالت تونل( : )Tunnelبرای احراز هويت بين كاربر و حفاظ (firewall مركز امنبت شبكه شريف 24 End-to-end versus End-toIntermediate Authentication 25 Sharif Network Security Center Scope of AH Authentication Before Application IP payload is TCP segment (data unit) 26 Sharif Network Security Center Scope of AH Authentication Transport Mode 27 IPv6: AH is end-to-end payload Sharif Network Security Center Scope of AH Authentication Tunnel Mode 28 Sharif Network Security Center AH روش مقابله با حمله تکرار()Replay اختصاص يك شمارنده با مقدار صفر به هر SA افزايش شمارنده به ازای هر بسته جديد كه با اين SAفرستاده می شود اگر شمارنده به مقدار 232-1برسد ،بايد از يك SAجديد با كليد جديد استفاده كرد درنظرگرفتن يك پنجره به اندازه W =64 لبه سمت راست پنجره به بزرگترين شماره بسته رسيده و تاييدشده از نظر صحت می باشد مركز امنبت شبكه شريف 29 AH مكانيزم برخورد با بسته جديد در پنجره بسته جديد و داخل محدوده پنجره محاسبه MACو عالمت زدن خانه متناظر در پنجره در صورت تاييد هويت بسته خارج از محدود پنجره (سمت راست) محاسبه ، MACتاييد هويت و شيفت پنجره به سمت راست ،به طوري كه خانه متناظر سمت راست لبه پنجره را نشان دهد بسته جديد خارج از محدوده پنجره يا عدم احراز هویت آن دور انداخته می شود! مركز امنبت شبكه شريف 30 مركز امنبت شبكه شريف 31 ESP ويژگیها پشتيبانی از محرمانگی داده و تا حدی محرمانگی ترافيك امكان استفاده از هويت شناس ي(مشابه )AH استفاده از الگوريتم DESدر مد (CBCامكان استفاده از ,3-DES CAST ,3-IDEA ,IDEA ,RC5و Blowfishنيز وجود دارد) مركز امنبت شبكه شريف 32 ESP فيلدهای ESP : SPIشناسه SA : Sequence Numberشمارنده برای جلوگيری از حمله تکرار مشابه AH : Payloadمحتوای بسته كه رمز می شود : Paddingبيتهای اضافی : Pad Lengthطول فيلد باال : Next Headerنوع داده موجود در Payload Data : Authentication Dataمقدار MACمحاسبه شده (بدون در نظر گرفتن خود فيلد) مركز امنبت شبكه شريف 33 Encapsulating Security Payload 34 Sharif Network Security Center ESP حالت انتقال تضمين محرمانگی بين hostها رمزنگاری بسته داده ،دنباله ESPو اضافه شدن MACدرصورت انتخاب هويت شناس ی توسط مبداء تعيين مسير توسط Routerهای ميانی با استفاده از سرآيندهای اصلي(كه رمز نشده اند) چك كردن سرآيند IPتوسط مقصد و واگشايی رمز باقيمانده پيغام امكان آناليز ترافيك مركز امنبت شبكه شريف 35 Transport Mode ESP used for communication between hosts scope 36 Sharif Network Security Center ESP حالت تونل اضافه شدن آدرس مبداء و مقصد دروازه های خروجی فرستنده و گيرنده، سرآيند ESPو دنباله ESPو قسمت مربوط به MACدر صورت نياز(برای هويتشناس ي) انجام مسيريابی در Routerهای ميانی از روی آدرسهای جديد رسيدن بسته به فايروال شبكه مقصد و مسيريابی از روی آدرس IPقبلی تا گره نهايي حالت تونل IPSecيكی از روشهای ايجاد VPNها است مركز امنبت شبكه شريف 37 Tunnel Mode ESP 38 Sharif Network Security Center تركيب SAها با توجه به اينكه هر SAتنها يكی از سرويسهای AHيا ESPرا پياده سازی كرده است ،برای استفاده از هر دو سرويس بايد آنها را باهم تركيب كرد تركيبهای مختلف پياده سازی IPSecتوسط hostهای متناظر پياده سازی IPSecتوسط gatewayها تركيب دو حالت باال مركز امنبت شبكه شريف 39 40 Sharif Network Security Center 41 Sharif Network Security Center 42 Sharif Network Security Center 43 Sharif Network Security Center مديريت كليد عموما به 4كليد سری ،دو تا برای AHو دو تا برای ( ESPدر دو جهت) نيازمنديم .برای توليد و توزيع اين كليدها به يك مكانيزم مديريت كليد نيازمنديم. مركز امنبت شبكه شريف 44 مديريت كليد مدیریت کلید دستی :تنها در سیستم های ایستا و کوچک قابل استفاده است مدیریت خودکار : پروتکل اتوماتیک و پيش فرض مدیریت و توزیع کلید IPSecاصطالحا ISAKMP/Oakleyنامیده می شود. Internet Security Association and Key Management Protocol مركز امنبت شبكه شريف 45 مديريت كليد مدیریت کلید خودکار به نام ISAKMP/Oakleyمعروف است و شامل دو فاز است پروتکل تعیين کلید : Oakleyفرم توسعه یافته پروتکل Diffie- Hellmanکه ضعفهای آن را برطرف کرده است :Clogging Attackمنابع قربانی تلف می شود. با استفاده از تعريف مفهومی تحت عنوان Cookieمشکل اين حمله را برطرف می کند Man-In-The-Middle-Attack Replay Attack با استفاده از Nonceبا حمله های تکرار مقابله می کند. پروتکل مدیریت کلید و SAدر اینترنت()ISAKMP تعریف رویه ها و قالب بسته ها برای برقراری ،مذاکره ،تغیير یا حذف SA مركز امنبت شبكه شريف 46
© Copyright 2024 Paperzz