tcp/ip services for openvms security features · it-symposium 2006 3 18. mai 2006 5 vertraulichkeit...
TRANSCRIPT
IT-Symposium 2006
1www.decus.de
18. Mai 2006
© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice
TCP/IP Services for OpenVMS
Security Features
Franziska BaumgartnerNWCCDecus Düsseldorf 2006
2
Agenda
• Bisherige Security Features• Grundziele der Security Technologien• Übersicht Sicherheitsarchitekturen
SSH (Secure Shell)SSH in TCP/IP Services for OpenVMSSSH V2 ArchitekturSSH Client/Server KonfigurationSSH Port Forwarding
KerberosKerberos Telnet
SSL/TLSSecure Mail Server mit SSL
IPsec• Zukunft
IT-Symposium 2006
2www.decus.de
18. Mai 2006
3
Bisherige Security Features
• Address-Based Packet Screening− TCPIP> set communication/reject=network=(net1,net2)
set communication/reject=hosts=(host1,host2)− TCPIP> show communication/security
• Per-Service Access Control− TCPIP> set service ftp/accept=host=(host1,host2)
• Communication Proxies für rlogin und rsh− TCPIP> add proxy otto/remote_user=otto/host=testhost
• Auditing, Alarms,OPCOM Messages, Intrusion Records
4
Grundziele der Security Technologien
• Vertraulichkeit (Confidentiality, Privacy)− Kein unbefugter Zugriff auf den Inhalt einer Nachricht oder Datei möglich.− Verschlüsselung (Encryption)
• Integrität (Integrity)− Manipulationen an der Nachricht werden entdeckt− Prüfsummen
• Authentizität (Authenticity)− Identitätsnachweis: A soll B seine Identität zweifelsfrei beweisen können.− Herkunftsnachweis: A soll B beweisen können, dass eine Nachricht von ihm
stammt und nicht verändert wurde.− Prüfsummen
− Nichtabstreitbarkeit (Verbindlichkeit, Non-Repudiation)− Erhalt und Herkunft einer Nachricht können nicht abgestritten werden− digitale Signaturen
IT-Symposium 2006
3www.decus.de
18. Mai 2006
5
VertraulichkeitSymmetrische Verschlüsselung
• Verwenden den gleichen geheimen Schlüssel sowohl für die Ver- als auch für die Entschlüsselung− Verfahren: DES, 3DES, AES
• Schnell, hohe Sicherheit− abhängig von der Schlüssellänge
• Beide Partner müssen vor der Verschlüsselung im Besitz des geheimen Schlüssel seins − Die Schlüssel müssen vorher über einen sicheren
Kommunikationskanal übertragen werden
Daten 1234567Daten 1234567 Daten 1234567Daten 1234567%$e!z((8ß?%$e!z((8ß?Verschlüsselung
Schlüssel: 324AF324Entschlüsselung
Schlüssel: 324AF324
unsicherer Übertragungskanal
6
Vertraulichkeit cont.Asymmetrische Verschlüsselung
• Benutzen zwei unterschiedliche Schlüssel: einen öffentlichen und einen privaten.− Verfahren: RSA, DSS
• Eine mit dem öffentlichen Schlüssel chiffrierte Nachricht kann nur noch mit dem privaten Schlüssel dechiffriert werden (gilt auch umgekehrt).− Öffentlicher Schlüssel kann jedem bekannt sein
• Einsatz z.B. für Verteilung von symmetrischen Schlüsseln.− Langsam und komplex
Daten 1234567Daten 1234567 Daten 1234567Daten 1234567&KI§*lki*+&KI§*lki*+Verschlüsselung
Schlüssel: 784AF422Entschlüsselung
Schlüssel: 648ED529
unsicherer Übertragungskanal
IT-Symposium 2006
4www.decus.de
18. Mai 2006
7
Integrität und Authentizität
• Hashfunktion (Prüfsummenfunktion)−Transformation einer beliebigen Bitfolge in einen String
fester Länge, der Prüfsumme• z.B. MD5, SHA1
• Hash-based Message Authentication Code (HMAC)−Aus Nachricht und geheimem symmetrischen Schlüssel
erzeugt Hashfunktion die Prüfsumme • z.B. HMAC-MD5 oder HMAC-SHA1
−Prüfsumme wird als zusätzliche Information an die Nachricht angehängt.
8
Sicherheitsarchitekturen
Unterstützte Architekturen in TCP/IP Services forOpenVMS
ApplicationLayer
ApplicationLayer
PresentationLayer
PresentationLayer
Session Layer
Session Layer
Transport Layer
Transport Layer
NetworkLayer
NetworkLayer
Data Link Layer
Data Link Layer
IPsec-Protokolle
SSL/TLS
SSH, Kerberos, DNSsec
PhysicalLayer
IT-Symposium 2006
5www.decus.de
18. Mai 2006
9
SSH – Secure Shell
• Client und Server Architektur• Sichere Kommunikation über ein unsicheres Netzwerk• Ursprünglich als Ersatz für die unsicheren r-Tools
(rsh, rlogin, rcp)• Application Layer Security
− Kopieren von Files− Remote Login− Port Forwarding (für POP, FTP, X, SMTP, IMAP)
• Sicherstellung von Vertraulichkeit, Authentifizierung und Integrität
• Benutzt TCP Port 22
Appl. LayerSSH
Appl. LayerSSH
PresentationLayer
PresentationLayer
Session Layer
Session Layer
Transport Layer
Transport Layer
NetworkLayer
NetworkLayer
Data Link Layer
Data Link Layer
PhysicalLayer
PhysicalLayer
10
SSH in TCP/IP Services for OpenVMS
• unterstützt ab V5.5 und V5.4 ECO05• Portiert von Tru64 Unix Version 5.1B
− Code base: SSH Communications Security, Inc.
• SSH2 Version 3.2.0• Unix Style Kommandos
IT-Symposium 2006
6www.decus.de
18. Mai 2006
11
SSH in TCP/IP Services for OpenVMS cont.
• Unterstützte Kommandos− ssh für remote login und remote command execution
(entspricht telnet und rsh) − scp für File Copy (entspricht dem rcp Kommando)− sftp für File Copy (entspricht FTP Kommando Syntax,
allerdings Neuentwicklung) − tcp Port Forwarding (Weiterleiten von TCP-Verbindungen)− x.11 Port Forwarding (Weiterleiten von X.11-Verbindungen)
12
SSH in TCP/IP Services for OpenVMS cont.Konfiguration SSH Client und Server• @sys$startup:tcpip$config• Enable Client
− 2 - Client Components− 7 - SSH Client
• erzeugt Client Konfig File tcpip$ssh_device:[tcpip$ssh.ssh2]ssh2_config• Enable Server
− 3 - Server Components− 19 - SSH Server
• erzeugt Server Config File tcpip$ssh_device:[tcpip$ssh.ssh2]sshd2_configcreate a default server host key [yes]: yesCreating private key file tcpip$ssh:[tcpip$ssh.ssh2]hostkeyCreating public key file tcpip$ssh:[tcpip$ssh.ssh2]hostkey.pub
• hostkey = private keyhostkey.pub = public key
• Keys können auch nachträglich mit SSH-Keygen Utility erzeugt werden• ASCII Konfigurationsfiles (identisch Unix)
• SSH Benutzer Authentifizierung Setup− Authentifizierungsmethoden:
• Password• Public-key• Host-based
IT-Symposium 2006
7www.decus.de
18. Mai 2006
13
SSH V2 Architektur
SSH User Authentication ProtocolSSH User Authentication Protocol
SSH Connection ProtocolSSH Connection Protocol
SSH Transport (Tunnel) ProtocolSSH Transport (Tunnel) Protocol
Authentifizierung des SSH-Servers über PublicKey-VerfahrenSicherstellung der Datenintegrität über Message Authentication Codes (MD5, SHA1 ...)Verschlüsselung der Daten über einen symmetrischen Algorithmus (AES, 3DES, ...)
Authentifizierung des BenutzersPassword AuthenticationPublic Key Authentication (mit oder ohne Zertifikate)Hostbased Authentication
Aufbau von logischen Kanälen (Multiplexing)Interaktives Einloggen auf dem ServerAusführen von KommandosWeiterleiten von TCP/IP-VerbindungenWeiterleiten von X11-Verbindungen
Verschlüsselte VerbindungAnwendungssoftware z.B. ssh, scp, sftp etc.
Transport Layer z.B. TCP
14
SSH Client/Server Kommunikation (vereinfachte Darstellung)
SSH-Client SSH-Server
$ ssh [-username] server-node
Verbindungsanfrage
SSH Protokoll Versionen werden ausgetauschtAlgorithmus zum Schlüsselaustausch wird ausgehandelt (Diffie Hellmann, RSA) Verschlüsselungsprotokolle werden ausgehandelt (AES, DES, 3DES ...)MAC (Message Authentication Code) Algorithmus wird ausgehandelt (HMAC-SHA1)
Authentifizierung des Servers über Public-Key Verfahren
Server sendet seinen Public Key aus tcpip$ssh_device:[tcpip$ssh.ssh2]HOSTKEY.PUB und Signatur (Prüfsumme)Server generiert dazu Prüfsumme, verschlüsselt diese mit seinem private Key aus [tcpip$ssh.ssh2]hostkey und hängt sie als Signatur (Prüfsumme) an das SSH Paket an
SSH Transport Protokoll
IT-Symposium 2006
8www.decus.de
18. Mai 2006
15
SSH Client/Server Kommunikation cont.
SSH-Client SSH-Server
Public Key des Servers liegt nicht vor:tcpip$ssh_device:[tcpip$ssh.ssh2]ssh2_configstrict host key checking = yes I no I askyes Public Key vom Server muss per Hand kopiert werden nach
[user.ssh2.hostkeys]KEY_22_server.PUBno Public Key vom Server wird automatisch kopiert
(wenn nicht vorhanden)ask Frage, ob Public Key vom Server kopiert werden soll (default)
„Server Authentication successful“
Client entschlüsselt die Signatur (Prüfsumme) mit dem Public Keydes Servers und vergleicht sie mit lokal generierter Prüfsumme
Berechnung und Austausch der geheimen Data Encryption- und MAC-Schlüssel
Ab jetzt verschlüsselte Übertragung!
SSH Transport Protocol cont.
16
SSH Client/Server Kommunikation cont.
SSH-Client SSH-Server
SSH Authentication Protocol
Authentifizierung des Benutzers
Verschiedene Möglichkeiten der Authentifizierungsys$sysdevice:[tcpip$ssh.ssh2]sshd2_config auf Serversys$sysdevice:[tcpip$ssh.ssh2]ssh2_config auf ClientAllowedAuthentications
hostbased, publickey, password
IT-Symposium 2006
9www.decus.de
18. Mai 2006
17
SSH Client/Server Kommunikation cont.
Allowed Authentications• Password
− Aufforderung zur Password Eingabe• Public Key
− Public/Private Key für Benutzer muss auf Client erzeugt werden − Public Key des Benutzers wird zum Server kopiert− Pro Benutzer gibt es ein Key Paar− Setup:
• Client Benutzer erzeugt sich mit ssh_keygen ein public/private Key PaarPrivate Key wird in [user.ssh2]id_dsa_2048_a gespeichertPublic Key wird in [user.ssh2]id_dsa_2048_a.pub gespeichertclient$ type [user.ssh2]identification.
IDKey id_dsa_2048_a Name des private Keys• Public Key id_dsa_2048_a.pub vom Client Benutzer wird auf Server kopiert
nach [user.ssh2]id_dsa2048_a.pubserver$ type [user.ssh2]authorization.
key id_dsa2048_a.pub Name des public Keys
18
SSH Client/Server Kommunikation cont.
Allowed Authentications cont.• Hostbased
− Ein private/public Key Paar für jeden Client (kein Schlüsselpaar mehr für jeden Benutzer notwendig)• Aus Sicherheitsgründen daher nicht zu empfehlen!
− Setup:• Server: Clients in systemweites ‚trusted host file‘ eintragen
− Systemweit• edi tcpip$ssh_device:[tcpip$ssh]shosts.equiv
nobbe.deu.hp.com ‚fully qualified‘ Client Host Name eintragen− Benutzer-spezifisch (shosts.equiv muss leer sein)
• edi sys$login:[user1]shosts.• Client Public Key wird zum Server kopiert
− Client Hostkey.pub Server [tcpip$ssh.ssh2.knownhosts]nobbe_deu_hp_com_ssh-dss.pub
IT-Symposium 2006
10www.decus.de
18. Mai 2006
19
SSH Client/Server Kommunikation cont.
SSH-Client SSH-Server
SSH Connection Protocol
Applikationsverbindungen (Channels) zwischen Client und Server werden aufgebaut- werden alle über die verschlüsselte und authentifizierte
Tunnelverbindung gebündelt
$ ssh servernode.....Authentication successfulservernode$
20
SSH – Port Forwarding
• Aufbau eines SSH Secure Tunnels• Erlaubt unmodifizierten TCP Applikationen SSH Tunnel zu benutzen• Local Port Forwarding:
− ssh –“L“2222:localhost:23 Serverhost− Alle lokalen Verbindungen auf Port 2222 werden weitergeleitet zum Server
auf Port 23
• Remote Port Forwarding:− ssh –“R“3333:localhost:23 Serverhost− Alle eingehenden Verbindugen auf Port 3333 am Server werden
weitergeleitet zum Client auf Port 23
• Port Forwarding für FTP− SSH –“L“ ftp/2001:localhost:21 Serverhost
• X11 Port Forwarding
IT-Symposium 2006
11www.decus.de
18. Mai 2006
21
3. Application:3. Application: $ telnet $ telnet localhostlocalhost 22222222
1. Start server: SSH Service muss enabled 1. Start server: SSH Service muss enabled seinsein
2. SSH client:2. SSH client: $ $ sshssh ServerhostServerhost ""--L2222:localhost:23L2222:localhost:23““
IPTCP
Serverapplication
INETACP
IPTCP
SSHclient
2(SSH)
3
Port Forwarding Beispiel
HostnameHostname““ServerhostServerhost””
1SSHserver
Clientapplication
22
Transport-Protokoll• Vertraulichkeit: symmetrische Verschlüsselung
• Integrität und Authentizität: Message Authentication Code (MAC)
Verschlüsselter Teil der SSH-Nachricht
mac = Message Authentification Code
TCP Header (Port 22)
TCP Header (Port 22)
Packet Length
Packet Length
Padding Length
Padding Length SSH PayloadSSH Payload Random
Padding
Random Padding MAC (optional)MAC (optional)
4 Octets 1 Octet N1(Packet Length - N2 -1)
N2 (Padding Length)
MAC Length
Verschlüsselter Teil der SSH Nachricht
IT-Symposium 2006
12www.decus.de
18. Mai 2006
23
SSH – Secure Shell
Appl. LayerSSH
Appl. LayerSSH
PresentationLayer
PresentationLayer
Session Layer
Session Layer
Transport Layer
Transport Layer
NetworkLayer
NetworkLayer
Data Link Layer
Data Link Layer Ethernet
HeaderIPHeader
TCPHeader
CRC
Applikationsdaten
TCPHeader Applikationsdaten
IPHeader
TCPHeader Applikationsdaten
Applikationsdaten
Applikationsdaten = verschlüsselte Daten
PhysicalLayer
PhysicalLayer
24
Kerberos
• Netzwerk Authentifizierungsprotokoll− Authentifizierung übernimmt eine vertrauenswürdige dritte Partei
(KDC Key Distribution Center)− verwendet secret-key Kryptografie (symmetrische
Verschlüsselung)• Keine Klartext Passwörter gehen über das Netz
− Kerberos unterstützt ‚single sign on‘• Ein einziges Passwort für alle Systeme, die Kerberos verstehen • Benutzer muss sich nur einmal authentifizieren• Kann alle Netzwerkdienste benutzen, ohne ein weiteren Mal ein
Passwort eingeben zu müssen• vergibt Tickets (kurze Bitfolgen mit begrenzter Lebensdauer) um
Passwörter zu ersetzen
• Verschlüsselung von Verbindungen ist möglich • TCP Port 2323• Weit verbreitet (Windows, Unix Standard …)
Appl. LayerKerberos
Appl. LayerKerberos
PresentationLayer
PresentationLayer
Session Layer
Session Layer
Transport Layer
Transport Layer
NetworkLayer
NetworkLayer
Data Link Layer
Data Link Layer
PhysicalLayer
IT-Symposium 2006
13www.decus.de
18. Mai 2006
25
Kerberos Operationen aus http://www.xml-dev.com
26
Kerberos ticket processClient (HOST1)
Login:JSMITHPassword:$
SID1 PWD2
KDC (HOST2)
TGS
Remote Server (Host3)
TGT Request2
KDBJSMITH: Password1
TGS: Password2host: Password3
PWD1 PWD2
KINIT
encryptencrypt
4
Password:1
encryptdecrypted
encryptencrypt
3
TGS Request
Encrypted TGT
JSMITH@host1 time [SID1]SID1
JSMITH@host1 time [SID1] PWD2
Encrypted SRT
[SID1] Created
$ TELNET /AUTHENTICATE HOST3
[SID2] CreatedJSMITH@host1 time TELNET
PWD3
SID1 PWD3
SID2 PWD3Authenticated!Communications
IT-Symposium 2006
14www.decus.de
18. Mai 2006
27
Kerberos Telnet• Installation und Konfiguration:
− ab VMS V7.3-1 ist Kerberos Teil des Betriebssystems• keine Installation nötig ab VMS V7.3-2 und VMS V8.x• Kerberos Konfiguration muss durchgeführt werden• wird in VMS Kerberos Dokumentation beschrieben
− TCP/IP Services for OpenVMS• @sys$startup:tcpip$config
− 4 – Optinal components− 4 - Confiure Kerberos Applications− 1 - Add Kerberos for TELNET server
• ktelnet Service mit Listener Port 2323 wird erzeugt
28
Kerberos Telnet cont.• Benutzung von Kerberos Telnet
− Anmelden beim Kerberos Server (anfordern eines Tickets)• muni64$ kinit
Password for [email protected]
− Login unter Benutzung eines ‚Tickets‘ anstatt eines Passwords• muni64$ telnet/authenticate testhost 2323
%TELNET-I-TRYING, Trying ... 16.1.2.3 %TELNET-I-ESCAPE, Escape character is ^] [Kerberos V5 accepts “[email protected]“] testhost$
− Kerberos SSH in TCP/IP Services for OpenVMS V5.6 (derzeit Field Test)
IT-Symposium 2006
15www.decus.de
18. Mai 2006
29
SSL/TLS – Secure Socket Layer, Transport Layer Security
• Entwickelt von Netscape• Wird vorallem von secure WEB Servern benutzt
− https://... SSL wird durch das Anhängen des s initiiert• Arbeitet unabhängig von der Applikation auf Socket Ebene• Transparent zu Applikationen und End-User• Zertifikat basierend• SSL bietet Vertraulichkeit, Server Authentifizierung und
Schutz vor Datenmanipulation• Kann von allen Applikationsprotokollen verwendet werden (z.B.
POP, IMAP)• benötigt eigene TCP/UDP Portnummern
• TLS (Transport Layer Security) ist die standardisierte Version(TLS V1.0/1.1 entspricht SSL V3.0)
ApplicationLayer
ApplicationLayer
PresentationLayer
PresentationLayer
Session Layer
Session Layer
SSL/TLSTransport L.
SSL/TLSTransport L.
NetworkLayer
NetworkLayer
Data Link Layer
Data Link Layer
PhysicalLayer
30
Secure Mail Servers mit SSL in TCP/IP V5.5
• Secure POP Server• Secure IMAP Server• SSL Verbindungen werden auf folgenden Ports akzeptiert:
− POP: Port 995− IMAP: Port 993
• Passwörter, Daten und POP/IMAP Kommandos werden verschlüsselt übertragen
• Viele Mail Clients unterstützen SSL, z.B. Outlook, Netscape, Mozilla• erfordert Installation des OpenVMS SSL Kits und TCP/IP Services
for OpenVMS
IT-Symposium 2006
16www.decus.de
18. Mai 2006
31
Secure Mail Servers mit SSL cont.
• Installation und Konfiguration von SSL/POP ist sehr einfach− Installation des SSL Kits− Installation von TCP/IP Services for OpenVMS− POP Server konfigurieren
• POP Logicals: tcpip$pop_disable_cleartext, tcpip$pop_disable_ssl(darf nicht existieren)
− wichtig: SSL Startup vor TCP/IP Startup− SSL Certificate Tool starten oder CA Zertifikat
• @ssl$com:ssl$cert_tool− 4. Create a self-signed certificate
− POP restarten− Port 995 existiert nun
• Gewünschten Client für SSL aufsetzen• IMAP Setup identisch über Konfigurationsdatei
sys$sysdevice:[tcpip$imap]tcpip$imap.conf
32
Stunnel (secure tunnel)
• Open source Freeware• Aufbau eines SSL Secure Tunnels• Erlaubt unmodifizierten TCP Applikationen SSH Tunnel
zu benutzen− TELNET, FTP, RCP, IMAP, etc.− Stunnel sorgt für Verschlüsselung− erfordert keine Änderung der Applikationen
IT-Symposium 2006
17www.decus.de
18. Mai 2006
33
3. Application: (telnet 3. Application: (telnet localhostlocalhost 992)992)
1. SSL server: (1. SSL server: (stunnelstunnel --d 992 d 992 --r localhost:23 r localhost:23 --p p stunnel.pemstunnel.pem))
2. SSL client: (2. SSL client: (stunnelstunnel --c c --d 992 d 992 --r remote:992)r remote:992)
IPTCP
Application
SSLserver
(Stunnel)
IPTCP
Application
SSLclient
(Stunnel)
1
2(SSL)
3
Stunnel (TELNET example)
34
SSL – Secure Socket Layer
ApplicationLayer
ApplicationLayer
PresentationLayer
PresentationLayer
Session L. Session L.
SSL/TLSTransport L.
SSL/TLSTransport L.
NetworkLayer
NetworkLayer
Data Link Layer
Data Link Layer Ethernet
HeaderIPHeader
TCPHeader
CRC
Applikationsdaten z.B. POP, IMAP, HTTPS
TCPHeader Applikationsdaten
IPHeader
TCPHeader Applikationsdaten
Applikationsdaten
Applikationsdaten = verschlüsselte Daten
SSL/TLS Protokoll Applikationsdaten
PhysicalLayer
PhysicalLayer
IT-Symposium 2006
18www.decus.de
18. Mai 2006
35
IPsec – IP Security
• IP Security auf Netzwerkschicht (IP Layer)• wurde 1998 von IETF als integraler Bestandteil von IPv6
entwickelt− gilt für IPv4 und IPv6
• Transparent für Applikationen und Benutzer− Benutzer brauchen kein Security Training
• Sichert alle ‚Upper Layer‘ Protokolle• bietet Encryption und Authentifizierung• Sichert Daten zwischen zwei beliebigen IP Systemen
− end-to-end− router-to-router (‚secure gateway‘)
ApplicationLayer
ApplicationLayer
PresentationLayer
PresentationLayer
Session Layer
Session Layer
Transport Layer
Transport Layer
NetworkLayer
NetworkLayer
Data Link Layer
Data Link Layer
PhysicalLayer
PhysicalLayer
36
IPsec – IP Security cont.
• Zentrale Funktionen von IPsec− Authentication Header Protocol (AH)
• Schutz der Integrität des kompletten IP-Pakets – inklusive IP Header
• Nachweis der Authentizität des IP-Pakets – inklusive IP Header− Encapsulated Security Payload Protokoll (ESP)
• Vertraulichkeit der Nutzdaten und des Datenverkehrs durch symmetrische Verschlüsselung (z.B. DES oder 3DES)
• Authentizitätsnachweis und Integritätsschautz der Nutzdaten− Internet Key Exchange Protokoll (IKE)
• automatische Schlüsselverwaltung für IPsec• verwendet Diffie-Hellman-Schlüsselaustausch für einen
sicheren Austausch von Schlüsseln über ein unsicheres Netzwerk
• basiert auf UDP und nutzt standardmäßig Port 500 als Sourceund Destination Port
IT-Symposium 2006
19www.decus.de
18. Mai 2006
37
Authentication Header (AH)• Provides data integrity and authentication of origin between
two systems• No confidentiality
− Designed to be algorithm-independent• Required authentication algorithms: Keyed MD5 or SHA-1
• Tunnel mode − Packet is appended to tunnel header and AH header
• Transport mode− Original packet’s IP header is the IP header of resulting packet
IP Header AH Header Payload
authenticated
authenticated
AH Header IP Header PayloadNew IP Header
38
Encapsulating Security Payload (ESP)• Provides data integrity, authentication, and confidentiality
• Significant performance impact
• Tunnel mode− Encrypted packet is appended to tunnel header
• Transport mode− Original packet’s IP header is the IP header of resulting packet
IP HeaderESP Header Payload
authenticated
New IP Header ESP Trailer ESP Authentication
encrypted
authenticated
IP Header ESP Header Payload ESP Trailer ESP Authentication
encrypted
IT-Symposium 2006
20www.decus.de
18. Mai 2006
39
IPsec for Virtual Private Networks
SecureGateway1 Secure
Gateway 2
PublicInternet
Private Subnet 1 Private Subnet 2
Gesicherte VerbindungTunnel Mode
40
IPsec for Host-to-Host Security
Publicor
Private Network
gesicherte VerbindungTransport Mode
IT-Symposium 2006
21www.decus.de
18. Mai 2006
41
IPsec for Remote Access
PublicInternet
Host agiert als sein eigenesSecure Gateway
SecureGateway
Private Subnet
Protected Traffic
42
Vergleich Secure Netzwerk Layer Secure Application Layer
• Secure Application Layer− Erfordert Änderung der einzelnen Applikation−Wird von Applikation/Benutzer kontrolliert−Nur End-to-End Security
• IPsec− völlig transparent für Applikation und Benutzer−Gilt für gesamten Netzwerkverkehr−Wird vom Systemmanager kontrolliert − Teil der Netzwerk Infrastruktur (VPNs)
IT-Symposium 2006
22www.decus.de
18. Mai 2006
43
TCP/IP Services Security - Zukunft
• IPsec (derzeit im Field Test)• DNSsec (Teile sind schon implementiert, derzeit im Field
Test)• Kerberos Support für SSH (derzeit im Field Test)