Modul 4: IPsec Teil 1 - leischner.inf.h-brs.de · AH oder ESP Ggf. Bündel von SA‘s Eindeutige...
Transcript of Modul 4: IPsec Teil 1 - leischner.inf.h-brs.de · AH oder ESP Ggf. Bündel von SA‘s Eindeutige...
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Modul 4: IPsec – Teil 1
Teil 1:
• Transport- und Tunnelmode
• Authentication Header
• Encapsulating Security Payload
• IPsec Architektur (Security Association, SAD, SPD),
Teil 2:
• Das IKE-Protokoll
Sicherheit in Netzen30.10.2018 11:32:25
© M. Leischner Folie 1
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
System Overview
Security Associations
IP Traffic Processing
and Processing
Struktur der IPsec-relevanten RFCs
30.10.2018 11:32:25
© M. Leischner Sicherheit in NetzenFolie 2
Security Architecture IP
RFC 4301 (12/05) Security Protocols
Authentication Header (AH)
RFC 4302 (12/05)
Encapsulating Security
Payload (ESP)
RFC 4303 (12/05)
Cryptographic Algorithm
RFC 8221 (10/17)
Key Exchange
Internet Key Exchange
(IKEv2)
RFC 7296, STD: 79 (10/14)
Cryptographic Algorithm
RFC 8247 (09/17)
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
IPSec Überblick
2 Modi:
Transport-Mode (=Original-Header) nur E-E
Tunnel-Mode (=gekapselt): ermöglicht den Aufbau virtueller Netze E-E, E-G / G-G
Authentication Header (AH): für Integrität + Authentizität
Encapsulating Security Payload (ESP): für Vertraulichkeit + implizite Authentizität
Security Assosiation (SA): "Verbindungskontext"
Security parameter index (SPI): dient der Identifikation des Verbindungskontextes
Security policy database (SPD):regelt die Anwendung des richtigen Verbindungskontextes
SA database (SAD):dynamisches Repository für Verbindungskontexte
Management von Sicherheitsassoziationen (Internet Key Exchange, IKE)
Internet Security Association and Key Management Protocol (ISAKMP):Abstrakte Protokollbasis zum Etablieren von SAs
Oakley: Schlüsselaustausch basierend auf Diffie-Hellmann
Domain of Interpretation (DOI): konkrete Spezifikation der vereinbarten Parameter und Konventionen
30.10.2018 11:32:25
© M. Leischner Folie 3Sicherheit in Netzen
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Transport- und Tunnelmode
30.10.2018 11:32:25
© M. Leischner Folie 4Sicherheit in Netzen
IP-Header Daten
IP-Header f(Daten)
Daten
neuer IP-Header f(IP-Header, Daten)
IP-Header
f
f
nur Länge modifiziert
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
AH im Transport Mode / AH im Tunnel Mode
30.10.2018 11:32:25
© M. Leischner Folie 5Sicherheit in Netzen
IP-Header TCP/UDP-Header Daten
IP-Header TCP/UDP-Header DatenAH-Header
Authentifiziert
TCP/UDP-Header Daten
IP-Header TCP/UDP-Header DatenAH-Header
IP-Header
IP-Header
Authentifiziert
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Aufbau des IPsec AH-Header-Formats (RFC4302, 12/05)
30.10.2018 11:32:25
© M. Leischner Folie 6Sicherheit in Netzen
Next Header AH Length Reserved
SPI (Security Parameter Index)
Sequence Number
Authentication Data (Integrity Check Value-ICV (variable))
Pointer dient
zur
eindeutigen
Identifizierung
einer SA
Sequenz-
nummer
gegen Replay
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
HMAC für AH-Authentifizierung
Variante 1:
MAC = H(key ∥ message)
Variante 2:
MAC = H(message ∥ key)
Variante 3:
MAC = H(key ∥ message ∥ key)
Variante 4:
H(key1 ∥ H(key2 ∥ message))
30.10.2018 11:32:25
© M. Leischner Folie 7Sicherheit in Netzen
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
HMAC für AH-Authentifizierung nach RFC 2104 (Updated by: RFC 6151)
30.10.2018 11:43:59
© M. Leischner Folie 8Sicherheit in Netzen
Inputblocklänge der Hashfunktion
0x3636363636……
XOR
Secret Key K 0x00000……
Message to hash
Hash-Funktion H
XOR‘d Key1
XOR
0x5C5C5C5C……
XOR‘d Key2 Intermediate Hash
Hash-Funktion H
Integrity Check Value (ICV)
• HMAC ist eine schüsselgesteuerte
Hash-Funktion
• H steht für beliebige Hashfunktion
• Sicherheit von dieser HMAC-
Konstruktion wurde kryptographisch
bewiesen; einfachere Kombinationen
von Daten+Schlüssel sind angreifbar
„ipad“
„opad“
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Empfehlungen des BSI zu AH
Aus Technische Richtlinie TR-02102-3 (Version 2018-01)
Kryptographische Verfahren: Empfehlungen und Schlüssellängen
Teil 3 – Verwendung von Internet Protocol Security (IPsec) und Internet Key Exchange
(IKEv2)
Berechnung des Integrity Check Values (ICV)
Für Neuentwicklungen wird eines der auf SHA-2 basierenden Verfahren (Nr. 4-6) in
Tabelle 9 empfohlen.
30.10.2018 11:47:57
© M. Leischner Folie 9Sicherheit in Netzen
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
ESP (Encapsulating Security Payload) im Transport Mode
30.10.2018 11:32:25
© M. Leischner Folie 10Sicherheit in Netzen
TCP/UDP-Header DatenIP-Header
TCP/UDP-Header DatenIP-Header ESP-Header ESP-Trailer
Integrität
Verschlüsselt
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
ESP im Tunnel Mode
30.10.2018 11:32:25
© M. Leischner Folie 11Sicherheit in Netzen
TCP/UDP-Header DatenESP-Header ESP-TrailerIP-Header IP-Header
TCP/UDP-Header DatenIP-Header
Verschlüsselt
Integrität
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Aufbau des IPsec ESP-Header-Format (RFC4303, 12/05)
30.10.2018 11:32:25
© M. Leischner Folie 12Sicherheit in Netzen
SPI (Security Parameter Index)
Sequence Number
Initialisierungsvektor (wenn nötig)
Encrypted Payload
Padding Padding Len. Next Header
Integrity Check Value (ICV) (optional, variable)
ESP-Trailer
ESP-Header
ve
rschlü
sse
lt
inte
gritä
ts-
ge
sic
he
rt
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Empfehlungen des BSI zu ESP
Aus Technische Richtlinie TR-02102-3 (Version 2018-01)
Kryptographische Verfahren: Empfehlungen und Schlüssellängen
Neuerungen 2017: Erhöhung der Bitlängen von RSA, DH und DSA auf 3000 Bit ab 2023
Neuerung 2018: Anpassung der Verwendungszeiträume
Teil 3 – Verwendung von Internet Protocol Security (IPsec) und Internet Key Exchange
(IKEv2)
30.10.2018 11:50:23
© M. Leischner Folie 13Sicherheit in Netzen
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Empfehlungen des BSI zum Integritätsschutz von ESP-Paketen.
Aus Technische Richtlinie TR-02102-3 (Version 2018-01)
Kryptographische Verfahren: Empfehlungen und Schlüssellängen
Teil 3 – Verwendung von Internet Protocol Security (IPsec) und Internet Key Exchange
(IKEv2)
Für Neuentwicklungen wird eines der auf SHA-2 basierenden Verfahren (Nr. 4-6) in
Tabelle 8 empfohlen.
30.10.2018 11:51:59
© M. Leischner Folie 14Sicherheit in Netzen
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Security Association (SA)
30.10.2018 11:32:25
© M. Leischner Folie 15Sicherheit in Netzen
nur für eine unidirektionale
Verbindung
nur für einen Mechanismus:
AH oder ESP
Ggf. Bündel von SA‘s
Eindeutige Identifizierung einer SA:
Security Parameter Index (SPI)
Bitstring mit lokaler Bedeutung
SPI Bestandteil von AH- und ESP-
Header
Verknüpfung mit SA
IP-Zieladresse
Endbenutzersystem oder
Netzwerksystem (Router, Firewall)
zur Zeit nur Unicast-Adressen erlaubt
Sicherheitsprotokoll-ID:
AH- oder ESP-SA
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Parameter einer SA
Sequence Number Counter:
32 Bitwert zum Zählen der Pakete mit einer SA
Lebensdauer der SA:
Zeitintervall oder Byte-Zähler
IPSec Protokoll-Modus:
Tunnel, Transport Modus.
AH-Information
Authentifizierungsalgorithmus
Schlüssel
Lebensdauer des Schlüssels
ESP-Information
Verschlüsselungs- und Authentifizierungsalgorithmus
Schlüssel
Anfangswerte
Lebensdauer des Schlüssels
30.10.2018 11:32:25
© M. Leischner Folie 16Sicherheit in Netzen
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Ablauf: Zu sendendes IP-Paket
30.10.2018 11:32:25
© M. Leischner Folie 17Sicherheit in Netzen
Security Policy DB
(SPD-out)
Security
Association
Database (SAD-out)
IPSEC(AH/EPS)
TCP/UDP
IP 1. Anhand der Zieladresse wird
in der SPD ermittelt, wie weiter
zu verfahren und welcher SPI zu
verwenden ist.
2. Anhand der SPI werden aus
der SAD die kryptographischen
Parameter (benötigte
Algorithmen und Schlüssel)
geliefert.
3. Die Policies werden wiederholt
angewandt, bis die SPD
vollständig abgearbeitet ist.
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Organisation von IPsec
30.10.2018 11:32:25
© M. Leischner Folie 18Sicherheit in Netzen
nach: Ghislaine Labouret: Ipsec: a technical overview
Link
IP / IPsec
TCP / UDP
Sockets
IKE
ISAKMP
IPsec
DOIOakley
SKEME
Anw. Prot.
(http, ftp)
Anwen-
dungen
SPD
SAD
schaut nach
schaut nach
verweist auf
richtet ein,
ändert,
löscht fordert
Einrichtung
von SA an
Administrator
konfiguriert
warnt/meldet
Hochschule
Bonn-Rhein-Sieg
Prof. Dr. Martin Leischner
Netzwerksysteme und TK
Komponenten des IPsec-Assoziationsmanagements
ISAKMP (Internet Security Association and Key Management Protocol)
Meta-Protokoll, das Pakettypen und Formate für den Schlüsselaustausch und das
Management von SAs definiert.
Generische Operationen für Aufbau und Management von SAs.
IKE (Internet Key Exchange)
Rahmen-Anwendung für das Management der SAs in der SAD und für den
Schlüsselaustausch.
Phase 1: Etablierung eines SAs für IKE
Phase 2: Etablierung von IPsec SAs
30.10.2018 11:32:25
© M. Leischner Folie 19Sicherheit in Netzen