הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות

IP – IPsec- – אבטחה ברמת ה12תרגול

הערה:

שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה

בלבד.

הגנה במערכות מתוכנתות - תרגול 12 2(c) 2007 אריק פרידמן

IPsecשירותי אבטחה של

סודיות ההודעותבאמצעות הצפנות

אימות ושלמות המידע ע"י חישובMAC.

אימות השולח-ההצפנות והMACתלויים במפתח סימטרי סודי

הגנה כנגדreplay attackע"י מספר סידורי שיצורף לכל חבילה

Application Data

TCP/UDP

IPsec

IP

MAC

הגנה במערכות מתוכנתות - תרגול 12 3(c) 2007 אריק פרידמן

סקירה - מה נראה-איך משתמשים בIPsec

Transport Modeהגנה מקצה לקצה – Tunnel Modeהגנה בין רשתות –

מבנהIPsecשני תתי-פרוטוקולים – ESPהצפנה ו/או אימות ובדיקת שלמות המידע – AHאימות ובדיקת שלמות מידע –

מבני הנתונים בהםIPsecמשתמש SADרשומות הנחוצות להגנה על התקשורת – SPDמדיניות הטיפול בחבילות –

IKE)פרוטוקול להסכמה על מפתחות )בתרגול הבא –

הגנה במערכות מתוכנתות - תרגול 12 4(c) 2007 אריק פרידמן

:IPsecאופני הפעולה של Transport Mode

Tunnel Mode

הגנה במערכות מתוכנתות - תרגול 12 5(c) 2007 אריק פרידמן

Transport Mode: לספק בטיחות מקצה לקצה המטרה כאשרx-רוצה לשלוח חבילה ל y:

מחשבx יפעיל IPsec-על החבילה, ישלח אותה ל y. מחשבy .יאמת ויפענח את החבילה החבילה מוגנת בפרט בתוך הרשתותA-ו B.

Internet

Network A Network B

x y

y ל-xהחבילה מאובטחת לאורך כל המסלול מ-

הגנה במערכות מתוכנתות - תרגול 12 6(c) 2007 אריק פרידמן

Transport Modeמבנה החבילה ב-

Application

TCP/UDP

IPsec

IP: x y

MAC

Application

TCP/UDP

IP

MAC

Transport Modeחבילה ב-חבילה סטנדרטית

הגנה במערכות מתוכנתות - תרגול 12 7(c) 2007 אריק פרידמן

Tunnel Mode: לספק בטיחות מחוץ לרשת הפנימית המטרה מופעל ע"יsecurity gatewaysביציאה מהרשתות GWA-ו GWB מפעילים IPsec:על החבילות

Internet

Network A Network B

x y

בלבדGWB ל-GWAהחבילה מאובטחת בין

GWA GWB

הגנה במערכות מתוכנתות - תרגול 12 8(c) 2007 אריק פרידמן

Tunnel Modeמבנה החבילה ב-

Application

TCP/UDP

IP: x y

MAC

Application

TCP/UDP

IP: x y

IPsec

IP: GWA GWB

MAC

Application

TCP/UDP

IP: x y

MAC

x yGWA GWBNetwork A Network BInternet

GWA-GWB Tunnel

הגנה במערכות מתוכנתות - תרגול 12 9(c) 2007 אריק פרידמן

Tunnel Mode vs. Transport Mode

יתרונות שלTunnel Mode על-פני Transport Mode:

מספיק להתקיןIPsec-רק על ה Security Gateways..קל יותר לנהל מדיניות בטיחות ברשת-השימוש בIPsec.שקוף למחשבים ברשת הפנימית

במקרה של הצפנה, הכתובות הפנימיות ברשתמוסתרות.

חסרון שלTunnel Mode לעומת Transport Mode:.אין הגנה על החבילות בתוך הרשתות

הגנה במערכות מתוכנתות - תרגול 12 10(c) 2007 אריק פרידמן

דוגמאות לשימושTunnel Modeב-

הגנה במערכות מתוכנתות - תרגול 12 11(c) 2007 אריק פרידמן

VPN – Virtual Private Networkרשת וירטואלית מוגנת על-גבי רשת ציבורית

הגנה במערכות מתוכנתות - תרגול 12 12(c) 2007 אריק פרידמן

מספר רמות אבטחה ברשת :למשל, מדיניות החברה

-יש להצפין כל חבילה יוצאת מA-ל B..יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים

Tunnel in Tunnel

Internet

Network A

Network Bm

zGWB

GWMGWA

Subnet M

הגנה במערכות מתוכנתות - תרגול 12 13(c) 2007 אריק פרידמן

איך יראו החבילות במקרה זה?

Application

TCP/UDP

IP: m z

MAC

Application

TCP/UDP

IP: m z

IPsec

IP: GWM GWB

IPsec

IP: GWA GWB

MAC

Application

TCP/UDP

IP: m z

MAC

m zGWA GWBSubnet M Network BInternet

GWMNetwork A

A-B TunnelM-B Tunnel

Application

TCP/UDP

IP: m z

IPsec

IP: GWM GWB

MAC

הגנה במערכות מתוכנתות - תרגול 12 14(c) 2007 אריק פרידמן

Tunnel Mode מול מחשב שאינו מאחורי Gateway.לדוגמה, מנהל שרוצה להתחבר לרשת מהבית

-המחשב שלו יצטרך לשמש כgateway.של עצמו

Tunnel Modeדוגמאות לשימוש ב-

Internet

Network A

m

w

GWMGWA

Subnet M

הגנה במערכות מתוכנתות - תרגול 12 15(c) 2007 אריק פרידמן

מבנה הנתוניםSAD

Security Association Database

הגנה במערכות מתוכנתות - תרגול 12 16(c) 2007 אריק פרידמן

רשומות הכוללות מידע הנחוץ לצורך ההגנה עלIPsecהתקשורת תוך שימוש ב-

כל רשומה נקראתSA )Security Association( לכלsession יהיה זוג SA:בכל מחשב

-אחד עבור חבילות נכנסות של הSession-אחד עבור חבילות יוצאות של הSession

-לכן הSAD:יהיה מורכב משני חלקים Outgoing SAD( SA)לחבילות יוצאות Incoming SAD( SA)לחבילות נכנסות

SAD – Security Association DB

הגנה במערכות מתוכנתות - תרגול 12 17(c) 2007 אריק פרידמן

:כל רשומה מכילה-אלגוריתמי הצפנה וMACמפתחות עבור האלגוריתמיםSequence NumberLifetimeSPI )Security Parameter Index(

-האינדקס של הSAהנוכחי אצל הצד השני

?SAמה כולל

הגנה במערכות מתוכנתות - תרגול 12 18(c) 2007 אריק פרידמן

ויותר בפירוט...

SPIUserSA Data1

…

…

24A,…SPI=13

25X,…SPI=20

SPIUserSA Data1

…

…

22A…

25X…

SPIUserSA Data1

…

17B,…SPI=22…

38Y,…SPI=5

SPIUserSA Data1

…

13B……

44Y…

User A’s SAD

User B’s SAD

OutgoingSAD

OutgoingSAD

IncomingSAD

IncomingSAD

הגנה במערכות מתוכנתות - תרגול 12 19(c) 2007 אריק פרידמן

:IPsecתתי הפרוטוקולים של

ESP )Encapsulating Security Payload(

AH )Authentication Header(

הגנה במערכות מתוכנתות - תרגול 12 20(c) 2007 אריק פרידמן

.מבצע הצפנה ו/או אימות של מידע

ESP )Encapsulating Security Payload(

הגנה בפני Replay Attack

לאיזה שכבה יש להעביר את

החבילה

הגנה במערכות מתוכנתות - תרגול 12 21(c) 2007 אריק פרידמן

בשליחת חבילה קודם מצפינים ורק אח"כ מחשביםאימות

בקבלת החבילה אם האימות נכשל חסכנו זמן פענוח

שימוש בהצפנה יוצר בעיה ליישומים כמוPF Firewall

-שימוש בTunnel Mode מאפשר להסתיר מבנה פנימי של רשת פרטית

ESP מוסיף לא רק ESP Header אלא גם trailer(Authentication data)

הערות

הגנה במערכות מתוכנתות - תרגול 12 22(c) 2007 אריק פרידמן

AH )Authentication Header(

:האימות מבוצע על-כל השכבות שמעל לAH.-כל השדות של הAH Header

-פרט לAuthenticaion Dataשמאופס לצורך החישוב

-הIP Header-שמופיע מתחת ל AH Header..חלק מהשדות מאופסים

Next Protocol

Payload LengthReserved

SPI

Sequence Number

Authentication Data

Application

TCP/UDP

IPsec

IP: x y

MAC

הגנה במערכות מתוכנתות - תרגול 12 23(c) 2007 אריק פרידמן

ESP vs. AHAH מבצע אימות על מידע רב יותר מאשר ESP.!למרות זה, האימות שלו אינו טוב יותר

כל התקפה שניתן לבצע עלESP ניתן לבצע גם על ,AH.

-השימוש בAH עלול ליצור בעיה לפרוטוקולים אחרים

לדוגמה, פרוטוקולNAT.

הגנה במערכות מתוכנתות - תרגול 12 24(c) 2007 אריק פרידמן

NATפרוטוקול נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של

.IPכתובות בתוך הרשתA מוקצות כתובות IP.מקומיות

לא בהכרח כתובות חוקיות

-ביציאה מרשת הארגון, שרת הNAT מחליף כתובת )כנ"ל בכניסה לרשת(Aמקומית ברשת שהוקצתה לרשת

Internet

Network A

x

y

NAT

הגנה במערכות מתוכנתות - תרגול 12 25(c) 2007 אריק פרידמן

- דוגמהNATפרוטוקול

Application

TCP/UDP

IP: IPA IPy

MAC

Application

TCP/UDP

IP: IPx IPy

MAC

yNAT ServerInternet

xNetwork A

ע"י שרת IPשינוי כתובת ה- פוגע באימות של NATה-

AH: y...יזרוק את החבילה

הגנה במערכות מתוכנתות - תרגול 12 26(c) 2007 אריק פרידמן

SPD )Security Policy Database(

הגנה במערכות מתוכנתות - תרגול 12 27(c) 2007 אריק פרידמן

SPD.מגדיר את מדיניות ההגנה של המערכת

ישSPD-עבור תעבורה נכנסת, ו SPD.עבור תעבורה יוצאת טבלת חוקים המוגדרת ע"י מנהל מערכת

דומה לטבלאות שלPacket Filtering Firewall בפרט אפשר( : כזה(Firewall כ-SPDלהשתמש ב-

3 אפשרויות עבור שדה Action:dropחבילה נזרקת – forwardחבילה עוברת בצורה רגילה – secure חבילה עוברת לאחר הפעלת – IPsec

SPD מגדיר גם את אופן הפעלת IPsec( AH/ESP, SPI הפעלת ,IKE)...,

-ניתן להשתמש בWildCards.

SPDמה עושים אם עבור secureמחזיר

חבילה נכנסת ללא IPsec?

RuleSource

Address

Destination

Address

Next

Protocol

Source

Port

Destination

Port

ActionAdditional Parameters

הגנה במערכות מתוכנתות - תרגול 12 28(c) 2007 אריק פרידמן

התמונה הכללית – שליחת חבילה

הגנה במערכות מתוכנתות - תרגול 12 29(c) 2007 אריק פרידמן

התמונה הכללית – קבלת חבילהלמה צריך לבדוק את זה

אם כבר פענחנו את החבילה?!?

הגנה במערכות מתוכנתות - תרגול 12 30(c) 2007 אריק פרידמן

– למה?SPIבדיקת ( מניעת התחזותIP Spoofing)

w-מרשה ל x-ול y לבצע telnetאליו אבל הם חייבים להוסיף אימות.

-מונעים מ x לבצע IP Spoofingעל .yהכתובת של

מניעת עקיפת מדיניות מערכת-לx מותר לבצע telnet-ל wרק עם

אימות.-לx אסור לבצע http-ל w.

-מונעים מ x לשלוח http.

http data

TCP: dest. port 80

IPsec: SPI = SPItelnet

IP: x w

MAC

telnet data

TCP

IPsec: SPI = SPIx-w

IP: y w

MAC

x w

x w