Documente Academic
Documente Profesional
Documente Cultură
1. Introducere
2. IP Security
Servicii IP Security
Arhitectura IP Security
ComunicaŃia în reŃele deschise este foarte ieftină, însă prezintă posibilitatea interceptării,
modificării, injectării de date de către un adversar. Datele stocate pe calculatoare legate în
reŃea sunt supuse aceloraşi ameninŃări.
Atunci când se consideră serviciile de securizare a informaŃiei asigurate de criptografie,
confidenŃialitatea şi integritatea sunt divizate în cinci servicii:
2. IP Security
2
- autentificarea
- confidenŃialitatea
- managementul cheilor criptografice
AplicaŃii al IP Security
IPSec asigură posibilitate unei comunicaŃii sigure în reŃele locale (LAN), reŃele de arie
largă (WAN), private sau publice, şi în Internet; exemple:
Principala caracteristică a IPSec care îi permite să asigure aceste aplicaŃii variate este
faptul că întregul trafic, la nivel IP, poate utiliza mecanismele de criptare şi/sau autentificare.
Astfel toate aplicaŃiile distribuite: client/server, e-mail, transfer de fişiere, acces Web, remote
logon pot fi securizate.
Modul tipic de utilizare a IPSec în cazul unei organizaŃii cu reŃele locale aflate în
diferite locaŃii presupune că traficul intern reŃelelor locale nu este securizat în timp ce
traficul între reŃelele locale utilizează IPSec pentru asigurarea securităŃii. Acest protocol este
implementat în echipamentele de reŃea care conectează reŃele locale la reŃeaua de arie largă,
de exemplu rutere sau firewall-uri. OperaŃiile de criptare/decriptare şi autentificare executate
de echipamentele cu IPSec sunt transparente pentru staŃiile de lucru şi serverele din reŃelele
locale. Utilizatorii individuali, conectaŃi direct la WAN, pot utiliza aceleaşi facilităŃi cu
condiŃia implementării IPSec pe staŃia de lucru.
3
Caracteristici ale utilizării IP Security
- Dacă IPSec este implementat într-un firewall sau un ruter, asigură securizarea
pentru toate staŃiile de lucru din reŃeaua locala, fără ca traficul local să fie afectat
de mecanismele de securitate.
- IPSec implementat într-un firewall este eficient dacă tot traficul dinspre exterior
utilizează IP şi firewall-ul este singurul punct de intrare dinspre Internet în
reŃeaua locală
- IPSec este sub nivelul de transport (TCP, UDP) astfel încât este transparent
pentru aplicaŃii; software-ul de aplicaŃie nu trebuie modificat, indiferent dacă
IPSec este implementat în ruter/firewall sau în staŃia de lucru.
- IPSec este transparent pentru utilizatorii finali; nu este necesară cunoaşterea de
către utilizatori a mecanismelor de securitate.
- IPSec poate asigura securitatea pentru utilizatori individuali care lucrează în
afara sediului unei organizaŃii
- IPSec permite implementarea unei subreŃele virtuale securizate dedicată
anumitor aplicaŃii în cadrul unei organizaŃii.
IPSec poate avea un rol vital în elaborarea unei arhitecturi de rutare necesară
interconectării reŃelelor; exemple de utilizare:
Servicii IP Security
AH ESP ESP
(criptare) (criptare şi autentif.)
Controlul accesului X X X
Autentificarea originii datelor X - X
Rejectarea pachetelor duplicate X X X
ConfidenŃialitate - X X
ConfidenŃialitate limitată asupra traficului - X X
4
criptare/autentificare denumit după formatul pachetului pentru acest protocol ESP -
Encapsulating Security Payload.
Arhitectura IP Security
Asocieri de securitate
Un concept de bază, care apare în mecanismele IP pentru autentificare şi
confidenŃialitate, este asocierea de securitate (SA-security association). SA este o relaŃie
unidirecŃională între o sursă şi o destinaŃie care asigură servicii de securitate traficului
efectuat pe baza ei; pentru un schimb securizat bidirecŃional sunt necesare două asocieri de
securitate. Serviciile de securitate pot fi asigurate de o asociere de securitate fie pentru
utilizarea protocolului AH, fie a protocolului ESP, dar nu pentru ambele.
O asociere de securitate este definită în mod unic de trei parametri:
Parametrii unei SA
În orice implementare a IPSec trebuie să existe o bază de date a SA, care defineşte
parametrii asociaŃi cu fiecare SA. O asociere de securitate este în mod tipic definită de
următorii parametri:
- Sequence Number Counter: un numărătorul de 32 de biŃi pentru generarea
numărului de secvenŃă utilizat în header-ul AH sau ESP .
- Sequence Counter Overflow: un flag care indică dacă a avut loc depăşirea
numărătorului pentru numere de secvenŃă şi împiedică folosirea SA pentru
transmiterea de noi pachete.
5
- Anti-Replay Window: permite detectarea repetării pachetelor.
- AH information: algoritmi de autentificare, chei criptografice, timp de viaŃă
pentru chei, parametri legaŃi de utilizarea AH
- ESP Information: Algoritmi de criptare şi autentificare, chei criptografice,
valori de iniŃializare, parametri legaŃi de utilizarea ESP
- Lifetime of this Security Association: indică timpul după care SA trebuie
înlocuită cu o nouă SA (şi un nou SPI) sau desfiinŃată şi care din aceste acŃiuni
trebuie să aibă loc.
- IPSec Protocol Mode: indică modul tunel sau transport
- Path MTU-Maximum Transmission UNIT- :dimensiunea maximă a pachetului
care poate fi transmis fără fragmentare.
Selectori SA
Politica de securitate prin care traficul IP este corelat cu anumite SA (sau cu nici o SA
în cazul traficului care nu este controlat de IPSec) este implementată prin Security Policy
Database (SPD). Fiecare intrare în SPD este definită printr-un set de valori definite de
câmpuri ale formatului IP şi ale formatului protocolului de nivel superior protocolului IP,
numite selectori şi conŃine o SA pentru tipul respectiv de trafic. Exemple de selectori:
adresele IP pentru sursă şi destinaŃie, denumirea protocolului de transport, a protocolului
IPSec (AH/ESP), adresele porturilor sursă sau destinaŃie. Aceşti selectori sunt folosiŃi pentru a
filtra traficul, astfel încât fiecare pachet să fie procesat de o SA corespunzător politicii de
securitate implementate.
6
Tabelul de mai jos prezintă principalele caracteristici ale celor două moduri:
Mod transport Mod tunel
AH Autentifică unitatea de date IP şi, Autentifică întregul pachet
selectiv, parŃi ale header-ului IP şi original IP plus, selectiv, parŃi ale
extensiile header-ului IPv6. noului header şi extensiile noului
header IPv6.
ESP Criptează unitatea de date IP şi toate Criptează pachetul IP original
extensiile header-ului IPv6 care
urmează după header-ul ESP.
ESP cu Criptează unitatea de date IP şi toate Criptează pachetul IP original;
autentificare extensiile header-ului IPv6 care autentifică pachetul IP original.
urmează după header-ul ESP;
autentifică unitatea de date IP.
Mecanismul anti-replay
7
La stabilirea unei noi asocieri de securitate SA, sursa iniŃializează un numărător de
pachete cu valoarea zero; acesta va fi incrementat cu fiecare pachet emis şi valoarea lui va fi
scrisă în câmpul Sequence Number din AH. La atingerea valorii 232– 1 sursa trebuie să
termine SA curentă şi să negocieze o nouă SA, cu o nouă cheie.
1. Dacă pachetul este nou şi numărul lui de secvenŃă este în cadrul ferestrei, se
verifică ICV. Dacă pachetul este autentificat, poziŃia corespunzătoare din
fereastră este marcată.
2. Dacă pachetul este nou şi numărul de secvenŃă este mai mare decât limita
superioară a ferestrei, se verifică ICV. Dacă pachetul este autentificat, se
deplasează fereastra la noul număr se secvenŃă şi poziŃia corespunzătoare
pachetului este marcată.
3. Dacă pachetul are numărul de secvenŃă mai mic decât limita inferioară a
ferestrei sau dacă autentificarea eşuează, pachetul este eliminat.
- HMAC-MD5-96
- HMAC-SHA-1-96
Ambele tipuri de MAC folosesc algoritmul HMAC, primul cu codul hash MD5, al
doilea cu codul hash SHA-1. În ambele cazuri valoarea HMAC rezultată din calcul este
trunchiată prin utilizarea primilor 96 biŃi, lungimea câmpului Authentication Data din AH.
MAC este calculat asupra următoarelor câmpuri:
8
destinaŃie nu poate fi prevăzută sunt considerate de valoare zero pentru calcul,
atât la sursă cât şi la destinaŃie.
- header-ul AH cu excepŃia câmpului Authentication Data care este considerat de
valoare zero, atât la sursă cât şi la destinaŃie.
- unitatea de date a protocolului de nivel superior.
Adresele sursei şi destinaŃiei sunt protejate, astfel încât se previne un atac de tipul
„address spoofing”
Pentru protocolul AH în mod transport utilizând standardul IPv4, AH este inserat după
header-ul IP original; autentificarea acoperă întregul pachet, cu excepŃia câmpurilor variabile
din header-ul IP care sunt setate zero pentru calcularea MAC. În contextul IPv6, header-ul
AH nu este examinat sau procesat de rutere intermediare, ca urmare AH este inserat după
header-ul IP original şi extensiile lui; autentificarea acoperă întregul pachet, cu excepŃia
câmpurilor variabile care sunt setate zero pentru calcularea MAC.
Pentru protocolul AH în mod tunel, întregul pachet IP original este autentificat şi AH
este inserat între noul header şi header-ul original. Header-ul intern va conŃine adresa
destinaŃiei finale, iar header-ul extern poate conŃine adresa unui firewall sau a unui ruter
securizat. Autentificarea acoperă întregul pachet original; noul header, cu extensiile lui în
cazul IPv6, este autentificat pentru câmpurile fixe.
9
Protocolul ESP
10
La fel ca protocolul AH, protocolul ESP permite utilizarea unui MAC cu lungimea de
96 biŃi iar specificaŃiile curente impun compatibilitatea cu:
- HMAC-MD5-96
- HMAC-SHA-1-96
- Pentru protocolul ESP în mod transport utilizând standardul IPv4, header-ul ESP
este inserat după header-ul IP original şi un trailer-ul ESP (câmpurile: Padding,
Pad Length, Next Header) este plasat după pachetul IP ; dacă se optează pentru
autentificare, câmpul ESP Authentication Data este adăugat după trailer-ul ESP.
Întregul segment al nivelului de transport şi trailer-ul ESP sunt criptate.
Autentificarea acoperă tot textul cifrat, plus header-ul ESP.
Etapele de operare în mod transport sunt următoarele:
- La sursă blocul format din segmentul nivelului de transport plus trailer-ul ESP
sunt criptate şi textul clar este înlocuit cu textul criptat pentru a forma pachetul
IP de transmis; se adaugă şi informaŃia de autentificare, dacă s-a selectat această
opŃiune.
- Pachetul este rutat către destinaŃie. Fiecare ruter intermediar examinează şi
procesează header-ul IP şi extensiile sale necriptate, dar nu examinează textul
criptat.
- Nodul de destinaŃie examinează şi procesează header-ul IP şi extensiile sale
necriptate. Apoi, pe baza SPI – Indexul Parametrilor de Securitate din header-ul
ESP, nodul de destinaŃie decriptează restul pachetului pentru a reconstitui ca text
clar segmentul nivelului de transport.
11
Utilizarea modului de transport asigură confidenŃialitate pentru orice aplicaŃie care
utilizează acest mod, evitând necesitatea ca fiecare aplicaŃie să trateze această problemă în
mod individual. Acest mod de operare este eficient, lungimea pachetului IP mărindu-se
nesemnificativ; nu împiedică analiza traficului.
Pentru protocolul ESP în mod tunel, header-ul ESP este adăugat la începutul
pachetului original, apoi pachetul plus trailer-ul ESP sunt criptate şi încapsulate într-un nou
pachet IP, noul header va permite rutarea, dar va limita posibilitatea de analiză a traficului.
Modul tunel este util pentru configuraŃii care includ firewall-uri sau alte tipuri de porŃi
securizate care protejează reŃele locale. Problemele de securitate sunt preluate de firewall,
eliminându-se necesitatea implementării facilităŃilor de securitate în fiecare staŃie de lucru a
reŃelei locale.
Etapele de operare în mod tunel, în cazul în care o staŃie de lucru exterioară unei reŃele
locale protejate cu firewall comunică cu o staŃie din reŃea, în staŃia exterioară şi în firewall
fiind implementat protocolul ESP, sunt următoarele:
- StaŃia de lucru exterioară reŃelei locale pregăteşte un pachet IP având ca adresă
finală staŃia din reŃeaua locală. Acest pachet este procesat pentru a se obŃine
formatul pentru ESP în mod tunel; adresa IP din noul header va fi adresa
firewall-ului
- Pachetul este rutat către firewall-ul de destinaŃie. Fiecare ruter intermediar
examinează şi procesează header-ul IP exterior şi extensiile sale necriptate, dar
nu examinează pachetul textul criptat.
- Firewall-ul de destinaŃie examinează şi procesează header-ul IP exterior şi
extensiile sale necriptate. Apoi, pe baza SPI – Indexul Parametrilor de Securitate
din header-ul ESP, nodul de destinaŃie decriptează restul pachetului pentru a
reconstitui ca text clar pachetul IP încapsulat.
- Pachetul IP reconstituit este rutat în reŃeaua locală către staŃia de destinaŃie.
12