Title: IPSec
1IPSec
- IP Security Protocol
- Henri Koskenheimo 0301508
2Taustaa
- IP (Internet Protocol) ei tarjoa suojaa
- IPSec kehitettiin tuomaan IPlle
turvallisuusominaisuuksia - IPSec tukee sekä IPv4ää että IPv6tta
- IPn päällä kulkeva liikenne, kuten TCP ja UDP,
voidaan suojata IPSecillä - IPSec voidaan konfiguroida sekä päätelaitteeseen
(PC) että reitittimeen - IPSec tunneli voidaan luoda
- Päätelaitteesta toiseen päätelaitteeseen
(end-to-end) - Päätelaitteesta reitittimeen
- Reitittimien välille
3IPSecin arkkitehtuuri
Architecture
AH
ESP
Encryption algorithm
Authentication algorithm
Domain of Interpretation
Key Management
Policy
4IPSecin protokollat
- IPSecillä on kaksi protokollaa Authentication
Header (AH) ja Encapsulating Security Payload
(ESP) - AH varmistaa tiedon eheyden ja autentikoi
käyttäjät - AH ei tarjoa luottamuksellisuutta, koska AHssa
ei voi käyttää kryptausta - ESP sisältää myös luottamuksellisuuden
- Paras suojaus saavutetaan, kun käytetään ESPtä
ja AHta samaan aikaan
5FTP-liikenne ilman salausta
6FTP-liikenne ESPllä salattuna
7IPSec moodit 1/2
- Protokollia voidaan käyttää kahdessa eri
moodissa Transport ja Tunnel - Transport moodi
- Suojaa ylemmän tason protokollat
- Käytetään yleensä päätelaitteiden välillä
8IPSec moodit 2/2
- Tunnel moodi
- Suojaa koko IP-paketin
- Käytetään yleensä reitittimien välillä
9AH header Transport moodissa (IPv4)
Data
TCP
Original IP header
Data
Original IP header
TCP
AH
Kaikki kentät autentikoitu, paitsi muuttuvat
10ESP header Transport moodissa (IPv4)
Data
TCP
Original IP header
ESP Trailer
ESP Header
ESP Auth
Data
Original IP header
TCP
Kryptattu
Autentikoitu
11AH header Tunnel moodissa (IPv4)
Data
TCP
Original IP header
New IP header
Data
Original IP header
TCP
AH
Kaikki kentät autentikoitu, paitsi New IP
headerin muuttuvat
12ESP header Tunnel moodissa (IPv4)
Data
TCP
Original IP header
ESP Trailer
Original IP header
New IP header
ESP Header
ESP Auth
Data
TCP
Kryptattu
Autentikoitu
13Autentikointi- ja kryptausalgoritmeja
- Autentikointialgoritmeja
- MD5 (Message Digest 5)
- SHA1 (Secure Hash Algorithm 1)
- Kryptausalgoritmeja
- AES (Advanced Encryption Standard)
- DES (Data Encryption Standard)
- 3DES
- Blowfish
14Internet Key Exchange (IKE)
- IKEn tarkoitus on muodostaa IPSec-yhteys kahden
koneen välille ja neuvotella avaimet - IKE jakautuu kahteen eri vaiheeseen
- Vaihe 1
- Osapuolten autentikointi (Pre-shared key tai
sertifikaatti) - Salatun yhteyden luominen avainten vaihtoa varten
- Vaihe 2
- Avainten neuvottelu
15Sertifikaatin verifiointi
16Digitaalinen allekirjoitus
17IP-paketin prosessointi
- Ulos lähtevä paketti
- IP-paketin kulkiessa transport kerrokselta IP
kerrokselle, se sovitetaan IPSecin suodattimeen - Jos joku kriteeri täyttyy, paketti voidaan
salata, olla salaamatta tai pudottaa pois - Kriteereitä ovat
- Lähettäjän IP-osoite
- Vastaanottajan IP-osoite
- Käytettävä protokolla
- Käytettävä portti
- Systeemin nimi
- Sisään tuleva paketti
- Kun paketti saapuu, tarkistetaan onko se
IPSec-paketti, sitten tarkistetaan pitäisikö sen
olla IPSec-paketti - Hylätään, päästetään läpi, salataan tai puretaan
18IPSec toteutuksia
- Päätelaitteet
- Windows
- Linux FreeS/WAN
- FreeBSD Raccoon
- HP-UX
- Sun Solaris
- Reitittimet
- Nokia
- Cisco
19(No Transcript)
20(No Transcript)
21(No Transcript)