IT-Symposium 2006

1www.decus.de

18. Mai 2006

© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice

TCP/IP Services for OpenVMS

Security Features

Franziska BaumgartnerNWCCDecus Düsseldorf 2006

2

Agenda

• Bisherige Security Features• Grundziele der Security Technologien• Übersicht Sicherheitsarchitekturen

SSH (Secure Shell)SSH in TCP/IP Services for OpenVMSSSH V2 ArchitekturSSH Client/Server KonfigurationSSH Port Forwarding

KerberosKerberos Telnet

SSL/TLSSecure Mail Server mit SSL

IPsec• Zukunft

IT-Symposium 2006

2www.decus.de

18. Mai 2006

3

Bisherige Security Features

• Address-Based Packet Screening− TCPIP> set communication/reject=network=(net1,net2)

set communication/reject=hosts=(host1,host2)− TCPIP> show communication/security

• Per-Service Access Control− TCPIP> set service ftp/accept=host=(host1,host2)

• Communication Proxies für rlogin und rsh− TCPIP> add proxy otto/remote_user=otto/host=testhost

• Auditing, Alarms,OPCOM Messages, Intrusion Records

4

Grundziele der Security Technologien

• Vertraulichkeit (Confidentiality, Privacy)− Kein unbefugter Zugriff auf den Inhalt einer Nachricht oder Datei möglich.− Verschlüsselung (Encryption)

• Integrität (Integrity)− Manipulationen an der Nachricht werden entdeckt− Prüfsummen

• Authentizität (Authenticity)− Identitätsnachweis: A soll B seine Identität zweifelsfrei beweisen können.− Herkunftsnachweis: A soll B beweisen können, dass eine Nachricht von ihm

stammt und nicht verändert wurde.− Prüfsummen

− Nichtabstreitbarkeit (Verbindlichkeit, Non-Repudiation)− Erhalt und Herkunft einer Nachricht können nicht abgestritten werden− digitale Signaturen

IT-Symposium 2006

3www.decus.de

18. Mai 2006

5

VertraulichkeitSymmetrische Verschlüsselung

• Verwenden den gleichen geheimen Schlüssel sowohl für die Ver- als auch für die Entschlüsselung− Verfahren: DES, 3DES, AES

• Schnell, hohe Sicherheit− abhängig von der Schlüssellänge

• Beide Partner müssen vor der Verschlüsselung im Besitz des geheimen Schlüssel seins − Die Schlüssel müssen vorher über einen sicheren

Kommunikationskanal übertragen werden

Daten 1234567Daten 1234567 Daten 1234567Daten 1234567%$e!z((8ß?%$e!z((8ß?Verschlüsselung

Schlüssel: 324AF324Entschlüsselung

Schlüssel: 324AF324

unsicherer Übertragungskanal

6

Vertraulichkeit cont.Asymmetrische Verschlüsselung

• Benutzen zwei unterschiedliche Schlüssel: einen öffentlichen und einen privaten.− Verfahren: RSA, DSS

• Eine mit dem öffentlichen Schlüssel chiffrierte Nachricht kann nur noch mit dem privaten Schlüssel dechiffriert werden (gilt auch umgekehrt).− Öffentlicher Schlüssel kann jedem bekannt sein

• Einsatz z.B. für Verteilung von symmetrischen Schlüsseln.− Langsam und komplex

Daten 1234567Daten 1234567 Daten 1234567Daten 1234567&KI§*lki*+&KI§*lki*+Verschlüsselung

Schlüssel: 784AF422Entschlüsselung

Schlüssel: 648ED529

unsicherer Übertragungskanal

IT-Symposium 2006

4www.decus.de

18. Mai 2006

7

Integrität und Authentizität

• Hashfunktion (Prüfsummenfunktion)−Transformation einer beliebigen Bitfolge in einen String

fester Länge, der Prüfsumme• z.B. MD5, SHA1

• Hash-based Message Authentication Code (HMAC)−Aus Nachricht und geheimem symmetrischen Schlüssel

erzeugt Hashfunktion die Prüfsumme • z.B. HMAC-MD5 oder HMAC-SHA1

−Prüfsumme wird als zusätzliche Information an die Nachricht angehängt.

8

Sicherheitsarchitekturen

Unterstützte Architekturen in TCP/IP Services forOpenVMS

ApplicationLayer

ApplicationLayer

PresentationLayer

PresentationLayer

Session Layer

Session Layer

Transport Layer

Transport Layer

NetworkLayer

NetworkLayer

Data Link Layer

Data Link Layer

IPsec-Protokolle

SSL/TLS

SSH, Kerberos, DNSsec

PhysicalLayer

IT-Symposium 2006

5www.decus.de

18. Mai 2006

9

SSH – Secure Shell

• Client und Server Architektur• Sichere Kommunikation über ein unsicheres Netzwerk• Ursprünglich als Ersatz für die unsicheren r-Tools

(rsh, rlogin, rcp)• Application Layer Security

− Kopieren von Files− Remote Login− Port Forwarding (für POP, FTP, X, SMTP, IMAP)

• Sicherstellung von Vertraulichkeit, Authentifizierung und Integrität

• Benutzt TCP Port 22

Appl. LayerSSH

Appl. LayerSSH

PresentationLayer

PresentationLayer

Session Layer

Session Layer

Transport Layer

Transport Layer

NetworkLayer

NetworkLayer

Data Link Layer

Data Link Layer

PhysicalLayer

PhysicalLayer

10

SSH in TCP/IP Services for OpenVMS

• unterstützt ab V5.5 und V5.4 ECO05• Portiert von Tru64 Unix Version 5.1B

− Code base: SSH Communications Security, Inc.

• SSH2 Version 3.2.0• Unix Style Kommandos

IT-Symposium 2006

6www.decus.de

18. Mai 2006

11

SSH in TCP/IP Services for OpenVMS cont.

• Unterstützte Kommandos− ssh für remote login und remote command execution

(entspricht telnet und rsh) − scp für File Copy (entspricht dem rcp Kommando)− sftp für File Copy (entspricht FTP Kommando Syntax,

allerdings Neuentwicklung) − tcp Port Forwarding (Weiterleiten von TCP-Verbindungen)− x.11 Port Forwarding (Weiterleiten von X.11-Verbindungen)

12

SSH in TCP/IP Services for OpenVMS cont.Konfiguration SSH Client und Server• @sys$startup:tcpip$config• Enable Client

− 2 - Client Components− 7 - SSH Client

• erzeugt Client Konfig File tcpip$ssh_device:[tcpip$ssh.ssh2]ssh2_config• Enable Server

− 3 - Server Components− 19 - SSH Server

• erzeugt Server Config File tcpip$ssh_device:[tcpip$ssh.ssh2]sshd2_configcreate a default server host key [yes]: yesCreating private key file tcpip$ssh:[tcpip$ssh.ssh2]hostkeyCreating public key file tcpip$ssh:[tcpip$ssh.ssh2]hostkey.pub

• hostkey = private keyhostkey.pub = public key

• Keys können auch nachträglich mit SSH-Keygen Utility erzeugt werden• ASCII Konfigurationsfiles (identisch Unix)

• SSH Benutzer Authentifizierung Setup− Authentifizierungsmethoden:

• Password• Public-key• Host-based

IT-Symposium 2006

7www.decus.de

18. Mai 2006

13

SSH V2 Architektur

SSH User Authentication ProtocolSSH User Authentication Protocol

SSH Connection ProtocolSSH Connection Protocol

SSH Transport (Tunnel) ProtocolSSH Transport (Tunnel) Protocol

Authentifizierung des SSH-Servers über PublicKey-VerfahrenSicherstellung der Datenintegrität über Message Authentication Codes (MD5, SHA1 ...)Verschlüsselung der Daten über einen symmetrischen Algorithmus (AES, 3DES, ...)

Authentifizierung des BenutzersPassword AuthenticationPublic Key Authentication (mit oder ohne Zertifikate)Hostbased Authentication

Aufbau von logischen Kanälen (Multiplexing)Interaktives Einloggen auf dem ServerAusführen von KommandosWeiterleiten von TCP/IP-VerbindungenWeiterleiten von X11-Verbindungen

Verschlüsselte VerbindungAnwendungssoftware z.B. ssh, scp, sftp etc.

Transport Layer z.B. TCP

14

SSH Client/Server Kommunikation (vereinfachte Darstellung)

SSH-Client SSH-Server

$ ssh [-username] server-node

Verbindungsanfrage

SSH Protokoll Versionen werden ausgetauschtAlgorithmus zum Schlüsselaustausch wird ausgehandelt (Diffie Hellmann, RSA) Verschlüsselungsprotokolle werden ausgehandelt (AES, DES, 3DES ...)MAC (Message Authentication Code) Algorithmus wird ausgehandelt (HMAC-SHA1)

Authentifizierung des Servers über Public-Key Verfahren

Server sendet seinen Public Key aus tcpip$ssh_device:[tcpip$ssh.ssh2]HOSTKEY.PUB und Signatur (Prüfsumme)Server generiert dazu Prüfsumme, verschlüsselt diese mit seinem private Key aus [tcpip$ssh.ssh2]hostkey und hängt sie als Signatur (Prüfsumme) an das SSH Paket an

SSH Transport Protokoll

IT-Symposium 2006

8www.decus.de

18. Mai 2006

15

SSH Client/Server Kommunikation cont.

SSH-Client SSH-Server

Public Key des Servers liegt nicht vor:tcpip$ssh_device:[tcpip$ssh.ssh2]ssh2_configstrict host key checking = yes I no I askyes Public Key vom Server muss per Hand kopiert werden nach

[user.ssh2.hostkeys]KEY_22_server.PUBno Public Key vom Server wird automatisch kopiert

(wenn nicht vorhanden)ask Frage, ob Public Key vom Server kopiert werden soll (default)

„Server Authentication successful“

Client entschlüsselt die Signatur (Prüfsumme) mit dem Public Keydes Servers und vergleicht sie mit lokal generierter Prüfsumme

Berechnung und Austausch der geheimen Data Encryption- und MAC-Schlüssel

Ab jetzt verschlüsselte Übertragung!

SSH Transport Protocol cont.

16

SSH Client/Server Kommunikation cont.

SSH-Client SSH-Server

SSH Authentication Protocol

Authentifizierung des Benutzers

Verschiedene Möglichkeiten der Authentifizierungsys$sysdevice:[tcpip$ssh.ssh2]sshd2_config auf Serversys$sysdevice:[tcpip$ssh.ssh2]ssh2_config auf ClientAllowedAuthentications

hostbased, publickey, password

IT-Symposium 2006

9www.decus.de

18. Mai 2006

17

SSH Client/Server Kommunikation cont.

Allowed Authentications• Password

− Aufforderung zur Password Eingabe• Public Key

− Public/Private Key für Benutzer muss auf Client erzeugt werden − Public Key des Benutzers wird zum Server kopiert− Pro Benutzer gibt es ein Key Paar− Setup:

• Client Benutzer erzeugt sich mit ssh_keygen ein public/private Key PaarPrivate Key wird in [user.ssh2]id_dsa_2048_a gespeichertPublic Key wird in [user.ssh2]id_dsa_2048_a.pub gespeichertclient$ type [user.ssh2]identification.

IDKey id_dsa_2048_a Name des private Keys• Public Key id_dsa_2048_a.pub vom Client Benutzer wird auf Server kopiert

nach [user.ssh2]id_dsa2048_a.pubserver$ type [user.ssh2]authorization.

key id_dsa2048_a.pub Name des public Keys

18

SSH Client/Server Kommunikation cont.

Allowed Authentications cont.• Hostbased

− Ein private/public Key Paar für jeden Client (kein Schlüsselpaar mehr für jeden Benutzer notwendig)• Aus Sicherheitsgründen daher nicht zu empfehlen!

− Setup:• Server: Clients in systemweites ‚trusted host file‘ eintragen

− Systemweit• edi tcpip$ssh_device:[tcpip$ssh]shosts.equiv

nobbe.deu.hp.com ‚fully qualified‘ Client Host Name eintragen− Benutzer-spezifisch (shosts.equiv muss leer sein)

• edi sys$login:[user1]shosts.• Client Public Key wird zum Server kopiert

− Client Hostkey.pub Server [tcpip$ssh.ssh2.knownhosts]nobbe_deu_hp_com_ssh-dss.pub

IT-Symposium 2006

10www.decus.de

18. Mai 2006

19

SSH Client/Server Kommunikation cont.

SSH-Client SSH-Server

SSH Connection Protocol

Applikationsverbindungen (Channels) zwischen Client und Server werden aufgebaut- werden alle über die verschlüsselte und authentifizierte

Tunnelverbindung gebündelt

$ ssh servernode.....Authentication successfulservernode$

20

SSH – Port Forwarding

• Aufbau eines SSH Secure Tunnels• Erlaubt unmodifizierten TCP Applikationen SSH Tunnel zu benutzen• Local Port Forwarding:

− ssh –“L“2222:localhost:23 Serverhost− Alle lokalen Verbindungen auf Port 2222 werden weitergeleitet zum Server

auf Port 23

• Remote Port Forwarding:− ssh –“R“3333:localhost:23 Serverhost− Alle eingehenden Verbindugen auf Port 3333 am Server werden

weitergeleitet zum Client auf Port 23

• Port Forwarding für FTP− SSH –“L“ ftp/2001:localhost:21 Serverhost

• X11 Port Forwarding

IT-Symposium 2006

11www.decus.de

18. Mai 2006

21

3. Application:3. Application: $ telnet $ telnet localhostlocalhost 22222222

1. Start server: SSH Service muss enabled 1. Start server: SSH Service muss enabled seinsein

2. SSH client:2. SSH client: $ $ sshssh ServerhostServerhost ""--L2222:localhost:23L2222:localhost:23““

IPTCP

Serverapplication

INETACP

IPTCP

SSHclient

2(SSH)

3

Port Forwarding Beispiel

HostnameHostname““ServerhostServerhost””

1SSHserver

Clientapplication

22

Transport-Protokoll• Vertraulichkeit: symmetrische Verschlüsselung

• Integrität und Authentizität: Message Authentication Code (MAC)

Verschlüsselter Teil der SSH-Nachricht

mac = Message Authentification Code

TCP Header (Port 22)

TCP Header (Port 22)

Packet Length

Packet Length

Padding Length

Padding Length SSH PayloadSSH Payload Random

Padding

Random Padding MAC (optional)MAC (optional)

4 Octets 1 Octet N1(Packet Length - N2 -1)

N2 (Padding Length)

MAC Length

Verschlüsselter Teil der SSH Nachricht

IT-Symposium 2006

12www.decus.de

18. Mai 2006

23

SSH – Secure Shell

Appl. LayerSSH

Appl. LayerSSH

PresentationLayer

PresentationLayer

Session Layer

Session Layer

Transport Layer

Transport Layer

NetworkLayer

NetworkLayer

Data Link Layer

Data Link Layer Ethernet

HeaderIPHeader

TCPHeader

CRC

Applikationsdaten

TCPHeader Applikationsdaten

IPHeader

TCPHeader Applikationsdaten

Applikationsdaten

Applikationsdaten = verschlüsselte Daten

PhysicalLayer

PhysicalLayer

24

Kerberos

• Netzwerk Authentifizierungsprotokoll− Authentifizierung übernimmt eine vertrauenswürdige dritte Partei

(KDC Key Distribution Center)− verwendet secret-key Kryptografie (symmetrische

Verschlüsselung)• Keine Klartext Passwörter gehen über das Netz

− Kerberos unterstützt ‚single sign on‘• Ein einziges Passwort für alle Systeme, die Kerberos verstehen • Benutzer muss sich nur einmal authentifizieren• Kann alle Netzwerkdienste benutzen, ohne ein weiteren Mal ein

Passwort eingeben zu müssen• vergibt Tickets (kurze Bitfolgen mit begrenzter Lebensdauer) um

Passwörter zu ersetzen

• Verschlüsselung von Verbindungen ist möglich • TCP Port 2323• Weit verbreitet (Windows, Unix Standard …)

Appl. LayerKerberos

Appl. LayerKerberos

PresentationLayer

PresentationLayer

Session Layer

Session Layer

Transport Layer

Transport Layer

NetworkLayer

NetworkLayer

Data Link Layer

Data Link Layer

PhysicalLayer

IT-Symposium 2006

13www.decus.de

18. Mai 2006

25

Kerberos Operationen aus http://www.xml-dev.com

26

Kerberos ticket processClient (HOST1)

Login:JSMITHPassword:$

SID1 PWD2

KDC (HOST2)

TGS

Remote Server (Host3)

TGT Request2

KDBJSMITH: Password1

TGS: Password2host: Password3

PWD1 PWD2

KINIT

encryptencrypt

4

Password:1

encryptdecrypted

encryptencrypt

3

TGS Request

Encrypted TGT

JSMITH@host1 time [SID1]SID1

JSMITH@host1 time [SID1] PWD2

Encrypted SRT

[SID1] Created

$ TELNET /AUTHENTICATE HOST3

[SID2] CreatedJSMITH@host1 time TELNET

PWD3

SID1 PWD3

SID2 PWD3Authenticated!Communications

IT-Symposium 2006

14www.decus.de

18. Mai 2006

27

Kerberos Telnet• Installation und Konfiguration:

− ab VMS V7.3-1 ist Kerberos Teil des Betriebssystems• keine Installation nötig ab VMS V7.3-2 und VMS V8.x• Kerberos Konfiguration muss durchgeführt werden• wird in VMS Kerberos Dokumentation beschrieben

− TCP/IP Services for OpenVMS• @sys$startup:tcpip$config

− 4 – Optinal components− 4 - Confiure Kerberos Applications− 1 - Add Kerberos for TELNET server

• ktelnet Service mit Listener Port 2323 wird erzeugt

28

Kerberos Telnet cont.• Benutzung von Kerberos Telnet

− Anmelden beim Kerberos Server (anfordern eines Tickets)• muni64$ kinit

Password for baumgartner@MUNI64.DEU.HP.COM

− Login unter Benutzung eines ‚Tickets‘ anstatt eines Passwords• muni64$ telnet/authenticate testhost 2323

%TELNET-I-TRYING, Trying ... 16.1.2.3 %TELNET-I-ESCAPE, Escape character is ^] [Kerberos V5 accepts “baumgartner@MUNI64.DEU.HP.COM“] testhost$

− Kerberos SSH in TCP/IP Services for OpenVMS V5.6 (derzeit Field Test)

IT-Symposium 2006

15www.decus.de

18. Mai 2006

29

SSL/TLS – Secure Socket Layer, Transport Layer Security

• Entwickelt von Netscape• Wird vorallem von secure WEB Servern benutzt

− https://... SSL wird durch das Anhängen des s initiiert• Arbeitet unabhängig von der Applikation auf Socket Ebene• Transparent zu Applikationen und End-User• Zertifikat basierend• SSL bietet Vertraulichkeit, Server Authentifizierung und

Schutz vor Datenmanipulation• Kann von allen Applikationsprotokollen verwendet werden (z.B.

POP, IMAP)• benötigt eigene TCP/UDP Portnummern

• TLS (Transport Layer Security) ist die standardisierte Version(TLS V1.0/1.1 entspricht SSL V3.0)

ApplicationLayer

ApplicationLayer

PresentationLayer

PresentationLayer

Session Layer

Session Layer

SSL/TLSTransport L.

SSL/TLSTransport L.

NetworkLayer

NetworkLayer

Data Link Layer

Data Link Layer

PhysicalLayer

30

Secure Mail Servers mit SSL in TCP/IP V5.5

• Secure POP Server• Secure IMAP Server• SSL Verbindungen werden auf folgenden Ports akzeptiert:

− POP: Port 995− IMAP: Port 993

• Passwörter, Daten und POP/IMAP Kommandos werden verschlüsselt übertragen

• Viele Mail Clients unterstützen SSL, z.B. Outlook, Netscape, Mozilla• erfordert Installation des OpenVMS SSL Kits und TCP/IP Services

for OpenVMS

IT-Symposium 2006

16www.decus.de

18. Mai 2006

31

Secure Mail Servers mit SSL cont.

• Installation und Konfiguration von SSL/POP ist sehr einfach− Installation des SSL Kits− Installation von TCP/IP Services for OpenVMS− POP Server konfigurieren

• POP Logicals: tcpip$pop_disable_cleartext, tcpip$pop_disable_ssl(darf nicht existieren)

− wichtig: SSL Startup vor TCP/IP Startup− SSL Certificate Tool starten oder CA Zertifikat

• @ssl$com:ssl$cert_tool− 4. Create a self-signed certificate

− POP restarten− Port 995 existiert nun

• Gewünschten Client für SSL aufsetzen• IMAP Setup identisch über Konfigurationsdatei

sys$sysdevice:[tcpip$imap]tcpip$imap.conf

32

Stunnel (secure tunnel)

• Open source Freeware• Aufbau eines SSL Secure Tunnels• Erlaubt unmodifizierten TCP Applikationen SSH Tunnel

zu benutzen− TELNET, FTP, RCP, IMAP, etc.− Stunnel sorgt für Verschlüsselung− erfordert keine Änderung der Applikationen

IT-Symposium 2006

17www.decus.de

18. Mai 2006

33

3. Application: (telnet 3. Application: (telnet localhostlocalhost 992)992)

1. SSL server: (1. SSL server: (stunnelstunnel --d 992 d 992 --r localhost:23 r localhost:23 --p p stunnel.pemstunnel.pem))

2. SSL client: (2. SSL client: (stunnelstunnel --c c --d 992 d 992 --r remote:992)r remote:992)

IPTCP

Application

SSLserver

(Stunnel)

IPTCP

Application

SSLclient

(Stunnel)

1

2(SSL)

3

Stunnel (TELNET example)

34

SSL – Secure Socket Layer

ApplicationLayer

ApplicationLayer

PresentationLayer

PresentationLayer

Session L. Session L.

SSL/TLSTransport L.

SSL/TLSTransport L.

NetworkLayer

NetworkLayer

Data Link Layer

Data Link Layer Ethernet

HeaderIPHeader

TCPHeader

CRC

Applikationsdaten z.B. POP, IMAP, HTTPS

TCPHeader Applikationsdaten

IPHeader

TCPHeader Applikationsdaten

Applikationsdaten

Applikationsdaten = verschlüsselte Daten

SSL/TLS Protokoll Applikationsdaten

PhysicalLayer

PhysicalLayer

IT-Symposium 2006

18www.decus.de

18. Mai 2006

35

IPsec – IP Security

• IP Security auf Netzwerkschicht (IP Layer)• wurde 1998 von IETF als integraler Bestandteil von IPv6

entwickelt− gilt für IPv4 und IPv6

• Transparent für Applikationen und Benutzer− Benutzer brauchen kein Security Training

• Sichert alle ‚Upper Layer‘ Protokolle• bietet Encryption und Authentifizierung• Sichert Daten zwischen zwei beliebigen IP Systemen

− end-to-end− router-to-router (‚secure gateway‘)

ApplicationLayer

ApplicationLayer

PresentationLayer

PresentationLayer

Session Layer

Session Layer

Transport Layer

Transport Layer

NetworkLayer

NetworkLayer

Data Link Layer

Data Link Layer

PhysicalLayer

PhysicalLayer

36

IPsec – IP Security cont.

• Zentrale Funktionen von IPsec− Authentication Header Protocol (AH)

• Schutz der Integrität des kompletten IP-Pakets – inklusive IP Header

• Nachweis der Authentizität des IP-Pakets – inklusive IP Header− Encapsulated Security Payload Protokoll (ESP)

• Vertraulichkeit der Nutzdaten und des Datenverkehrs durch symmetrische Verschlüsselung (z.B. DES oder 3DES)

• Authentizitätsnachweis und Integritätsschautz der Nutzdaten− Internet Key Exchange Protokoll (IKE)

• automatische Schlüsselverwaltung für IPsec• verwendet Diffie-Hellman-Schlüsselaustausch für einen

sicheren Austausch von Schlüsseln über ein unsicheres Netzwerk

• basiert auf UDP und nutzt standardmäßig Port 500 als Sourceund Destination Port

IT-Symposium 2006

19www.decus.de

18. Mai 2006

37

Authentication Header (AH)• Provides data integrity and authentication of origin between

two systems• No confidentiality

− Designed to be algorithm-independent• Required authentication algorithms: Keyed MD5 or SHA-1

• Tunnel mode − Packet is appended to tunnel header and AH header

• Transport mode− Original packet’s IP header is the IP header of resulting packet

IP Header AH Header Payload

authenticated

authenticated

AH Header IP Header PayloadNew IP Header

38

Encapsulating Security Payload (ESP)• Provides data integrity, authentication, and confidentiality

• Significant performance impact

• Tunnel mode− Encrypted packet is appended to tunnel header

• Transport mode− Original packet’s IP header is the IP header of resulting packet

IP HeaderESP Header Payload

authenticated

New IP Header ESP Trailer ESP Authentication

encrypted

authenticated

IP Header ESP Header Payload ESP Trailer ESP Authentication

encrypted

IT-Symposium 2006

20www.decus.de

18. Mai 2006

39

IPsec for Virtual Private Networks

SecureGateway1 Secure

Gateway 2

PublicInternet

Private Subnet 1 Private Subnet 2

Gesicherte VerbindungTunnel Mode

40

IPsec for Host-to-Host Security

Publicor

Private Network

gesicherte VerbindungTransport Mode

IT-Symposium 2006

21www.decus.de

18. Mai 2006

41

IPsec for Remote Access

PublicInternet

Host agiert als sein eigenesSecure Gateway

SecureGateway

Private Subnet

Protected Traffic

42

Vergleich Secure Netzwerk Layer Secure Application Layer

• Secure Application Layer− Erfordert Änderung der einzelnen Applikation−Wird von Applikation/Benutzer kontrolliert−Nur End-to-End Security

• IPsec− völlig transparent für Applikation und Benutzer−Gilt für gesamten Netzwerkverkehr−Wird vom Systemmanager kontrolliert − Teil der Netzwerk Infrastruktur (VPNs)

IT-Symposium 2006

22www.decus.de

18. Mai 2006

43

TCP/IP Services Security - Zukunft

• IPsec (derzeit im Field Test)• DNSsec (Teile sind schon implementiert, derzeit im Field

Test)• Kerberos Support für SSH (derzeit im Field Test)