ipsec fabrizio grossi. cos’è ipsec? ipsec è un insieme di standard che verificano, autenticano,...
TRANSCRIPT
IPSec
Fabrizio Grossi
Cos’è IPSec?
IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire la sicurezza dei dati durante le trasmissioni in rete
IPSec è un insieme di standard che verificano, autenticano, e criptano i dati al livello IP. IPSec è usato per garantire la sicurezza dei dati durante le trasmissioni in rete
• Benefici di IPSec
• Mutua Autenticazione prima e durante le comunicazioni
• Confidenzialità tramite la criptazione del traffico IP
• Integrità del traffico IP: viene rifiutato il traffico modificato
Protocolli IPSec
Data authenticity
Data integrity
Anti-spoofing protection
IPHeader
IPHeader AHAH TCP/UDP
Header
TCP/UDPHeader
ApplicationData
ApplicationData
Signed
Authentication Headers
New IPHeader
New IPHeader
ESPHdr
ESPHdr
Encrypted
Signed
Source authentication
Data encryption
Anti-spoofingprotection
Encapsulating Security Payloads
Original IP
Header
Original IP
Header
TCP/UDPHeader
TCP/UDPHeader
ApplicationData
ApplicationData
ESPTrailer
ESPTrailer
ESPAuthESPAuth
Come IPSec protegge il traffico
TCP LayerTCP Layer
IPSec DriverIPSec Driver
TCP LayerTCP Layer
IPSec DriverIPSec Driver
Encrypted IP PacketsEncrypted IP Packets33
Security Association Negotiation (ISAKMP)Security Association Negotiation (ISAKMP)
22
IPSec PolicyIPSec PolicyIPSec PolicyIPSec Policy11 Active DirectoryActive Directory
What is an IPSec Security Policy?
• IPSec usa regole e policy per proteggere il traffico di rete
• Le Regole sono composte di:• Filter• Filter action• Un metodo di autenticazione
• Le Policy di Default includono:• Client (Respond Only)• Server (Request Security)• Secure Server (Require Security)
How IPSec Policies Work Together
No policy assigned
Client (Respond
Only)
Server (Request Security)
Secure Server (Require Security)
No policy assigned
No IPSec No IPSec No IPSecNo communication
Client (Respond Only)
No IPSec No IPSec IPSec IPSec
Server (Request Security)
No IPSec IPSec IPSec IPSec
Secure server (Require Security)
No communication
IPSec IPSec IPSec
• Filtraggio di pacchetti consenti/blocca di base
• Comunicazioni LAN interne protette
• Replica di domini attraverso firewall
• VPN attraverso supporti non attendibili
Scenari IPSec
• Filtri per traffico consentito e bloccato
• Nessuna effettiva negoziazione delle associazioni di protezione IPSec
• Filtri sovrapposti—la corrispondenza migliore determina l'azione
• Non fornisce il filtraggio basato sullo stato
• È necessario impostare "NoDefaultExempt = 1" per la protezione
Da IP Verso IP ProtocolloPorta
originePorta
destinazioneAzione
Qualsiasi IP internet Qualsiasi N/D N/D Blocca
Qualsiasi IP internet TCP Qualsiasi 80 Consenti
Implementazione dei filtri di pacchetti IPSec
• I pacchetti IP con query o contenuto dannoso possono ancora raggiungere le porte aperte attraverso i firewall
• IPSec non fornisce il filtraggio basato sullo stato
• Molti strumenti utilizzati dagli hacker sfruttano le porte di origine 80, 88, 135 e così via per connettersi a qualsiasi porta di destinazione
Limiti dei filtri pacchetti per la protezione dei server
Protezione delle comunicazioni interne
• Utilizzare IPSec per fornire l'autenticazione reciproca dei dispositivi
• Utilizzare certificati o Kerberos
• La chiave già condivisa è adatta solo per i test
• Utilizzare AH (Authentication Header) per proteggere l'integrità dei pacchetti
• AH offre l'integrità dei pacchetti
• AH non crittografa i dati, quindi consente i rilevamenti di intrusioni sulla rete
• Utilizzare ESP (Encapsulation Security Payload) per crittografare il traffico riservato
• ESP offre integrità e riservatezza dei pacchetti
• La crittografia impedisce l'ispezione dei pacchetti
• Pianificare con attenzione il traffico da proteggere
• Indirizzi IP broadcast• Impossibile proteggere per più destinatari
• Indirizzi multicast• Da 224.0.0.0 a 239.255.255.255
• Kerberos—Porta di origine o destinazione UDP 88• Kerberos è un protocollo sicuro che può essere utilizzato dal
servizio di negoziazione IKE (Internet Key Exchange) per l'autenticazione di altri computer in un dominio
• IKE—Porta di destinazione UDP 500• Necessaria per consentire a IKe di negoziare i parametri per la
protezione IPSec
• In Windows Server 2003 viene configurata solo l'esenzione predefinita di IKE
Traffico non filtrato da IPSec
IPSec per la replica di domini • Utilizzare IPSec per la replica attraverso i firewall
• Su ogni controller di dominio creare un criterio IPSec per proteggere tutto il traffico verso l'indirizzo IP dell'altro controller di dominio
• Utilizzare ESP 3DES per la crittografia
• Consentire il traffico attraverso il firewall:• Porta UDP 500 (IKE)
• Protocollo IP 50 (ESP)
VPN attraverso supporti non attendibili
• VPN client
• Utilizzare L2TP/IPSec
• VPN di filiale
• Tra Windows 2000 o Windows Server, con RRAS: Utilizzare il tunnel L2TP/IPSec (facile da configurare, appare come un'interfaccia di routing)
• Verso i gateway di terze parti: Utilizzare L2TP/ISec o la modalità tunnel IPSec puro
• Verso il gateway Microsoft Windows NT® 4 RRAS: Utilizzare PPTP (IPSec non disponibile)
Prestazioni di IPSec• L'elaborazione di IPSec ha un impatto sulle prestazioni
• Tempo di negoziazione di IKE, circa 2-5 secondi inizialmente
• 5 cicli
• Autenticazione—Kerberos o certificati
• Generazione di chiavi crittografiche e messaggi crittografati
• Ogni 8 ore per impostazione predefinita, configurabile
• Reimpostazione veloce delle chiavi di sessione—<1–2 sec., 2 cicli, uno all'ora, configurabile
• Crittografia dei pacchetti
• Come migliorare?
• Offload sulle NIC per l'elaborazione IPSec alla massima velocità
• Utilizzo di CPU più veloci
Procedure ottimali• Pianificare con attenzione l'implementazione di IPSec
• Scegliere tra AH e ESP
• Utilizzare Criteri di gruppo per configurare i criteri IPSec
• Considerare l'impiego di NIC IPSec
• Non utilizzare mai l'autenticazione con chiave condivisa all'esterno del laboratorio di test
• Scegliere tra certificati e autenticazione Kerberos
• Utilizzare IPSec con prudenza per le comunicazioni con i controller di dominio e altri server dell'infrastruttura
Fine