הגנה במערכות מתוכנתות
DESCRIPTION
הגנה במערכות מתוכנתות. תרגול 12 – אבטחה ברמת ה- IP – IPsec. הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד. שירותי אבטחה של IPsec. סודיות ההודעות באמצעות הצפנות אימות ושלמות המידע ע"י חישוב MAC . אימות השולח - PowerPoint PPT PresentationTRANSCRIPT
הגנה במערכות מתוכנתות
IP – IPsec- – אבטחה ברמת ה12תרגול
הערה:
שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה
בלבד.
הגנה במערכות מתוכנתות - תרגול 12 2(c) 2007 אריק פרידמן
IPsecשירותי אבטחה של
סודיות ההודעותבאמצעות הצפנות
אימות ושלמות המידע ע"י חישובMAC.
אימות השולח-ההצפנות והMACתלויים במפתח סימטרי סודי
הגנה כנגדreplay attackע"י מספר סידורי שיצורף לכל חבילה
Application Data
TCP/UDP
IPsec
IP
MAC
הגנה במערכות מתוכנתות - תרגול 12 3(c) 2007 אריק פרידמן
סקירה - מה נראה-איך משתמשים בIPsec
Transport Modeהגנה מקצה לקצה – Tunnel Modeהגנה בין רשתות –
מבנהIPsecשני תתי-פרוטוקולים – ESPהצפנה ו/או אימות ובדיקת שלמות המידע – AHאימות ובדיקת שלמות מידע –
מבני הנתונים בהםIPsecמשתמש SADרשומות הנחוצות להגנה על התקשורת – SPDמדיניות הטיפול בחבילות –
IKE)פרוטוקול להסכמה על מפתחות )בתרגול הבא –
הגנה במערכות מתוכנתות - תרגול 12 4(c) 2007 אריק פרידמן
:IPsecאופני הפעולה של Transport Mode
Tunnel Mode
הגנה במערכות מתוכנתות - תרגול 12 5(c) 2007 אריק פרידמן
Transport Mode: לספק בטיחות מקצה לקצה המטרה כאשרx-רוצה לשלוח חבילה ל y:
מחשבx יפעיל IPsec-על החבילה, ישלח אותה ל y. מחשבy .יאמת ויפענח את החבילה החבילה מוגנת בפרט בתוך הרשתותA-ו B.
Internet
Network A Network B
x y
y ל-xהחבילה מאובטחת לאורך כל המסלול מ-
הגנה במערכות מתוכנתות - תרגול 12 6(c) 2007 אריק פרידמן
Transport Modeמבנה החבילה ב-
Application
TCP/UDP
IPsec
IP: x y
MAC
Application
TCP/UDP
IP
MAC
Transport Modeחבילה ב-חבילה סטנדרטית
הגנה במערכות מתוכנתות - תרגול 12 7(c) 2007 אריק פרידמן
Tunnel Mode: לספק בטיחות מחוץ לרשת הפנימית המטרה מופעל ע"יsecurity gatewaysביציאה מהרשתות GWA-ו GWB מפעילים IPsec:על החבילות
Internet
Network A Network B
x y
בלבדGWB ל-GWAהחבילה מאובטחת בין
GWA GWB
הגנה במערכות מתוכנתות - תרגול 12 8(c) 2007 אריק פרידמן
Tunnel Modeמבנה החבילה ב-
Application
TCP/UDP
IP: x y
MAC
Application
TCP/UDP
IP: x y
IPsec
IP: GWA GWB
MAC
Application
TCP/UDP
IP: x y
MAC
x yGWA GWBNetwork A Network BInternet
GWA-GWB Tunnel
הגנה במערכות מתוכנתות - תרגול 12 9(c) 2007 אריק פרידמן
Tunnel Mode vs. Transport Mode
יתרונות שלTunnel Mode על-פני Transport Mode:
מספיק להתקיןIPsec-רק על ה Security Gateways..קל יותר לנהל מדיניות בטיחות ברשת-השימוש בIPsec.שקוף למחשבים ברשת הפנימית
במקרה של הצפנה, הכתובות הפנימיות ברשתמוסתרות.
חסרון שלTunnel Mode לעומת Transport Mode:.אין הגנה על החבילות בתוך הרשתות
הגנה במערכות מתוכנתות - תרגול 12 10(c) 2007 אריק פרידמן
דוגמאות לשימושTunnel Modeב-
הגנה במערכות מתוכנתות - תרגול 12 11(c) 2007 אריק פרידמן
VPN – Virtual Private Networkרשת וירטואלית מוגנת על-גבי רשת ציבורית
הגנה במערכות מתוכנתות - תרגול 12 12(c) 2007 אריק פרידמן
מספר רמות אבטחה ברשת :למשל, מדיניות החברה
-יש להצפין כל חבילה יוצאת מA-ל B..יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים
Tunnel in Tunnel
Internet
Network A
Network Bm
zGWB
GWMGWA
Subnet M
הגנה במערכות מתוכנתות - תרגול 12 13(c) 2007 אריק פרידמן
איך יראו החבילות במקרה זה?
Application
TCP/UDP
IP: m z
MAC
Application
TCP/UDP
IP: m z
IPsec
IP: GWM GWB
IPsec
IP: GWA GWB
MAC
Application
TCP/UDP
IP: m z
MAC
m zGWA GWBSubnet M Network BInternet
GWMNetwork A
A-B TunnelM-B Tunnel
Application
TCP/UDP
IP: m z
IPsec
IP: GWM GWB
MAC
הגנה במערכות מתוכנתות - תרגול 12 14(c) 2007 אריק פרידמן
Tunnel Mode מול מחשב שאינו מאחורי Gateway.לדוגמה, מנהל שרוצה להתחבר לרשת מהבית
-המחשב שלו יצטרך לשמש כgateway.של עצמו
Tunnel Modeדוגמאות לשימוש ב-
Internet
Network A
m
w
GWMGWA
Subnet M
הגנה במערכות מתוכנתות - תרגול 12 15(c) 2007 אריק פרידמן
מבנה הנתוניםSAD
Security Association Database
הגנה במערכות מתוכנתות - תרגול 12 16(c) 2007 אריק פרידמן
רשומות הכוללות מידע הנחוץ לצורך ההגנה עלIPsecהתקשורת תוך שימוש ב-
כל רשומה נקראתSA )Security Association( לכלsession יהיה זוג SA:בכל מחשב
-אחד עבור חבילות נכנסות של הSession-אחד עבור חבילות יוצאות של הSession
-לכן הSAD:יהיה מורכב משני חלקים Outgoing SAD( SA)לחבילות יוצאות Incoming SAD( SA)לחבילות נכנסות
SAD – Security Association DB
הגנה במערכות מתוכנתות - תרגול 12 17(c) 2007 אריק פרידמן
:כל רשומה מכילה-אלגוריתמי הצפנה וMACמפתחות עבור האלגוריתמיםSequence NumberLifetimeSPI )Security Parameter Index(
-האינדקס של הSAהנוכחי אצל הצד השני
?SAמה כולל
הגנה במערכות מתוכנתות - תרגול 12 18(c) 2007 אריק פרידמן
ויותר בפירוט...
SPIUserSA Data1
…
…
24A,…SPI=13
25X,…SPI=20
SPIUserSA Data1
…
…
22A…
25X…
SPIUserSA Data1
…
17B,…SPI=22…
38Y,…SPI=5
SPIUserSA Data1
…
13B……
44Y…
User A’s SAD
User B’s SAD
OutgoingSAD
OutgoingSAD
IncomingSAD
IncomingSAD
הגנה במערכות מתוכנתות - תרגול 12 19(c) 2007 אריק פרידמן
:IPsecתתי הפרוטוקולים של
ESP )Encapsulating Security Payload(
AH )Authentication Header(
הגנה במערכות מתוכנתות - תרגול 12 20(c) 2007 אריק פרידמן
.מבצע הצפנה ו/או אימות של מידע
ESP )Encapsulating Security Payload(
הגנה בפני Replay Attack
לאיזה שכבה יש להעביר את
החבילה
הגנה במערכות מתוכנתות - תרגול 12 21(c) 2007 אריק פרידמן
בשליחת חבילה קודם מצפינים ורק אח"כ מחשביםאימות
בקבלת החבילה אם האימות נכשל חסכנו זמן פענוח
שימוש בהצפנה יוצר בעיה ליישומים כמוPF Firewall
-שימוש בTunnel Mode מאפשר להסתיר מבנה פנימי של רשת פרטית
ESP מוסיף לא רק ESP Header אלא גם trailer(Authentication data)
הערות
הגנה במערכות מתוכנתות - תרגול 12 22(c) 2007 אריק פרידמן
AH )Authentication Header(
:האימות מבוצע על-כל השכבות שמעל לAH.-כל השדות של הAH Header
-פרט לAuthenticaion Dataשמאופס לצורך החישוב
-הIP Header-שמופיע מתחת ל AH Header..חלק מהשדות מאופסים
Next Protocol
Payload LengthReserved
SPI
Sequence Number
Authentication Data
Application
TCP/UDP
IPsec
IP: x y
MAC
הגנה במערכות מתוכנתות - תרגול 12 23(c) 2007 אריק פרידמן
ESP vs. AHAH מבצע אימות על מידע רב יותר מאשר ESP.!למרות זה, האימות שלו אינו טוב יותר
כל התקפה שניתן לבצע עלESP ניתן לבצע גם על ,AH.
-השימוש בAH עלול ליצור בעיה לפרוטוקולים אחרים
לדוגמה, פרוטוקולNAT.
הגנה במערכות מתוכנתות - תרגול 12 24(c) 2007 אריק פרידמן
NATפרוטוקול נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של
.IPכתובות בתוך הרשתA מוקצות כתובות IP.מקומיות
לא בהכרח כתובות חוקיות
-ביציאה מרשת הארגון, שרת הNAT מחליף כתובת )כנ"ל בכניסה לרשת(Aמקומית ברשת שהוקצתה לרשת
Internet
Network A
x
y
NAT
הגנה במערכות מתוכנתות - תרגול 12 25(c) 2007 אריק פרידמן
- דוגמהNATפרוטוקול
Application
TCP/UDP
IP: IPA IPy
MAC
Application
TCP/UDP
IP: IPx IPy
MAC
yNAT ServerInternet
xNetwork A
ע"י שרת IPשינוי כתובת ה- פוגע באימות של NATה-
AH: y...יזרוק את החבילה
הגנה במערכות מתוכנתות - תרגול 12 26(c) 2007 אריק פרידמן
SPD )Security Policy Database(
הגנה במערכות מתוכנתות - תרגול 12 27(c) 2007 אריק פרידמן
SPD.מגדיר את מדיניות ההגנה של המערכת
ישSPD-עבור תעבורה נכנסת, ו SPD.עבור תעבורה יוצאת טבלת חוקים המוגדרת ע"י מנהל מערכת
דומה לטבלאות שלPacket Filtering Firewall בפרט אפשר( : כזה(Firewall כ-SPDלהשתמש ב-
3 אפשרויות עבור שדה Action:dropחבילה נזרקת – forwardחבילה עוברת בצורה רגילה – secure חבילה עוברת לאחר הפעלת – IPsec
SPD מגדיר גם את אופן הפעלת IPsec( AH/ESP, SPI הפעלת ,IKE)...,
-ניתן להשתמש בWildCards.
SPDמה עושים אם עבור secureמחזיר
חבילה נכנסת ללא IPsec?
RuleSource
Address
Destination
Address
Next
Protocol
Source
Port
Destination
Port
ActionAdditional Parameters
הגנה במערכות מתוכנתות - תרגול 12 28(c) 2007 אריק פרידמן
התמונה הכללית – שליחת חבילה
הגנה במערכות מתוכנתות - תרגול 12 29(c) 2007 אריק פרידמן
התמונה הכללית – קבלת חבילהלמה צריך לבדוק את זה
אם כבר פענחנו את החבילה?!?
הגנה במערכות מתוכנתות - תרגול 12 30(c) 2007 אריק פרידמן
– למה?SPIבדיקת ( מניעת התחזותIP Spoofing)
w-מרשה ל x-ול y לבצע telnetאליו אבל הם חייבים להוסיף אימות.
-מונעים מ x לבצע IP Spoofingעל .yהכתובת של
מניעת עקיפת מדיניות מערכת-לx מותר לבצע telnet-ל wרק עם
אימות.-לx אסור לבצע http-ל w.
-מונעים מ x לשלוח http.
http data
TCP: dest. port 80
IPsec: SPI = SPItelnet
IP: x w
MAC
telnet data
TCP
IPsec: SPI = SPIx-w
IP: y w
MAC
x w
x w