1 / 30

הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות. תרגול 12 – אבטחה ברמת ה- IP – IPsec. הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד. שירותי אבטחה של IPsec. סודיות ההודעות באמצעות הצפנות אימות ושלמות המידע ע"י חישוב MAC . אימות השולח

pippa
Download Presentation

הגנה במערכות מתוכנתות

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. הגנה במערכות מתוכנתות תרגול 12 – אבטחה ברמת ה-IP – IPsec הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

  2. שירותי אבטחה של IPsec • סודיות ההודעות • באמצעות הצפנות • אימות ושלמות המידע • ע"י חישוב MAC. • אימות השולח • ההצפנות וה-MAC תלויים במפתח סימטרי סודי • הגנה כנגד replay attack • ע"י מספר סידורי שיצורף לכל חבילה הגנה במערכות מתוכנתות - תרגול 12

  3. סקירה - מה נראה • איך משתמשים ב-IPsec • Transport Mode – הגנה מקצה לקצה • Tunnel Mode – הגנה בין רשתות • מבנה IPsec – שני תתי-פרוטוקולים • ESP – הצפנה ו/או אימות ובדיקת שלמות המידע • AH – אימות ובדיקת שלמות מידע • מבני הנתונים בהם IPsec משתמש • SAD – רשומות הנחוצות להגנה על התקשורת • SPD – מדיניות הטיפול בחבילות • IKE – פרוטוקול להסכמה על מפתחות (בתרגול הבא) הגנה במערכות מתוכנתות - תרגול 12

  4. אופני הפעולה של IPsec:Transport ModeTunnel Mode הגנה במערכות מתוכנתות - תרגול 12

  5. Network A Network B y x Internet החבילה מאובטחת לאורך כל המסלול מ-x ל-y Transport Mode • המטרה :לספק בטיחות מקצה לקצה • כאשר x רוצה לשלוח חבילה ל-y: • מחשב x יפעיל IPsec על החבילה, ישלח אותה ל-y. • מחשב yיאמת ויפענח את החבילה. • החבילה מוגנת בפרט בתוך הרשתות A ו-B. הגנה במערכות מתוכנתות - תרגול 12

  6. מבנה החבילה ב-Transport Mode חבילה ב-Transport Mode חבילה סטנדרטית הגנה במערכות מתוכנתות - תרגול 12

  7. Network A Network B y x Internet GWA GWB החבילה מאובטחת בין GWA ל-GWB בלבד Tunnel Mode • המטרה :לספק בטיחות מחוץ לרשת הפנימית • מופעל ע"י security gateways ביציאה מהרשתות • GWA ו-GWB מפעילים IPsec על החבילות: הגנה במערכות מתוכנתות - תרגול 12

  8. GWA-GWB Tunnel Network A Internet Network B x y GWA GWB מבנה החבילה ב-Tunnel Mode הגנה במערכות מתוכנתות - תרגול 12

  9. Tunnel Mode vs. Transport Mode • יתרונות של Tunnel Mode על-פני Transport Mode: • מספיק להתקין IPsec רק על ה-Security Gateways. • קל יותר לנהל מדיניות בטיחות ברשת. • השימוש ב-IPsec שקוף למחשבים ברשת הפנימית. • במקרה של הצפנה, הכתובות הפנימיות ברשת מוסתרות. • חסרון של Tunnel Mode לעומת Transport Mode: • אין הגנה על החבילות בתוך הרשתות. הגנה במערכות מתוכנתות - תרגול 12

  10. דוגמאות לשימושב-Tunnel Mode הגנה במערכות מתוכנתות - תרגול 12

  11. VPN – Virtual Private Network • רשת וירטואלית מוגנת על-גבי רשת ציבורית הגנה במערכות מתוכנתות - תרגול 12

  12. Network A Network B m GWM z GWA Internet GWB Subnet M Tunnel in Tunnel • מספר רמות אבטחה ברשת • למשל, מדיניות החברה: • יש להצפין כל חבילה יוצאת מ-A ל-B. • יש להצפין כל חבילה שיוצאת מתת הרשת של המנהלים. הגנה במערכות מתוכנתות - תרגול 12

  13. A-B Tunnel M-B Tunnel Subnet M Network B Network A Internet m z GWM GWA GWB איך יראו החבילות במקרה זה? הגנה במערכות מתוכנתות - תרגול 12

  14. דוגמאות לשימוש ב-Tunnel Mode • Tunnel Mode מול מחשב שאינו מאחורי Gateway • לדוגמה, מנהל שרוצה להתחבר לרשת מהבית. • המחשב שלו יצטרך לשמש כ-gateway של עצמו. Network A m GWM GWA Internet Subnet M w הגנה במערכות מתוכנתות - תרגול 12

  15. מבנה הנתוניםSADSecurity Association Database הגנה במערכות מתוכנתות - תרגול 12

  16. SAD – Security Association DB • רשומות הכוללות מידע הנחוץ לצורך ההגנה על התקשורת תוך שימוש ב-IPsec • כל רשומה נקראת SA (Security Association) • לכל session יהיה זוג SA בכל מחשב: • אחד עבור חבילות נכנסות של ה-Session • אחד עבור חבילות יוצאות של ה-Session • לכן ה-SAD יהיה מורכב משני חלקים: • Outgoing SAD (SA לחבילות יוצאות) • Incoming SAD (SA לחבילות נכנסות) הגנה במערכות מתוכנתות - תרגול 12

  17. מה כולל SA? • כל רשומה מכילה: • אלגוריתמי הצפנה ו-MAC • מפתחות עבור האלגוריתמים • Sequence Number • Lifetime • SPI (Security Parameter Index) • האינדקס של ה-SA הנוכחי אצל הצד השני הגנה במערכות מתוכנתות - תרגול 12

  18. ויותר בפירוט... User A’s SAD User B’s SAD Outgoing SAD Outgoing SAD Incoming SAD Incoming SAD הגנה במערכות מתוכנתות - תרגול 12

  19. תתי הפרוטוקולים של IPsec:ESP (Encapsulating Security Payload)AH (Authentication Header) הגנה במערכות מתוכנתות - תרגול 12

  20. ESP(Encapsulating Security Payload) • מבצע הצפנה ו/או אימות של מידע. הגנה בפני Replay Attack לאיזה שכבה יש להעביר את החבילה הגנה במערכות מתוכנתות - תרגול 12

  21. הערות • בשליחת חבילה קודם מצפינים ורק אח"כ מחשבים אימות • בקבלת החבילה אם האימות נכשל חסכנו זמן פענוח • שימוש בהצפנה יוצר בעיה ליישומים כמו PF Firewall • שימוש ב-Tunnel Mode מאפשר להסתיר מבנה פנימי של רשת פרטית • ESP מוסיף לא רק ESP Header אלא גם trailer • (Authentication data) הגנה במערכות מתוכנתות - תרגול 12

  22. AH(Authentication Header) • האימות מבוצע על: • כל השכבות שמעל ל-AH. • כל השדות של ה-AH Header • פרט ל-Authenticaion Data שמאופס לצורך החישוב • ה-IP Header שמופיע מתחת ל-AH Header. • חלק מהשדות מאופסים. הגנה במערכות מתוכנתות - תרגול 12

  23. ESP vs. AH • AH מבצע אימות על מידע רב יותר מאשר ESP. • למרות זה, האימות שלו אינו טוב יותר! • כל התקפה שניתן לבצע על ESP, ניתן לבצע גם על AH. • השימוש ב-AH עלול ליצור בעיה לפרוטוקולים אחרים • לדוגמה, פרוטוקול NAT. הגנה במערכות מתוכנתות - תרגול 12

  24. Network A x NAT Internet y פרוטוקול NAT • נועד לאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות IP. • בתוך הרשת A מוקצות כתובות IP מקומיות. • לא בהכרח כתובות חוקיות • ביציאה מרשת הארגון, שרת ה-NAT מחליף כתובת מקומית ברשת שהוקצתה לרשת A (כנ"ל בכניסה לרשת) הגנה במערכות מתוכנתות - תרגול 12

  25. פרוטוקול NAT - דוגמה Network A Internet y x NAT Server שינוי כתובת ה-IP ע"י שרת ה-NAT פוגע באימות של AH: y יזרוק את החבילה... הגנה במערכות מתוכנתות - תרגול 12

  26. SPD (Security Policy Database) הגנה במערכות מתוכנתות - תרגול 12

  27. SPD • מגדיר את מדיניות ההגנה של המערכת. • יש SPD עבור תעבורה נכנסת, ו-SPD עבור תעבורה יוצאת. • טבלת חוקים המוגדרת ע"י מנהל מערכת • דומה לטבלאות של Packet Filtering Firewall (בפרט אפשר להשתמש ב-SPD כ-Firewall כזה): • 3 אפשרויות עבור שדה Action: • drop – חבילה נזרקת • forward – חבילה עוברת בצורה רגילה • secure – חבילה עוברת לאחר הפעלת IPsec • SPD מגדיר גם את אופן הפעלת IPsec (AH/ESP, SPI, הפעלת IKE,...) • ניתן להשתמש ב-WildCards. מה עושים אם SPD מחזיר secure עבור חבילה נכנסת ללא IPsec? הגנה במערכות מתוכנתות - תרגול 12

  28. התמונה הכללית – שליחת חבילה הגנה במערכות מתוכנתות - תרגול 12

  29. התמונה הכללית – קבלת חבילה למה צריך לבדוק את זה אם כבר פענחנו את החבילה?!? הגנה במערכות מתוכנתות - תרגול 12

  30. בדיקת SPI – למה? x w • מניעת התחזות (IP Spoofing) • w מרשה ל-x ול-y לבצע telnet אליואבל הם חייבים להוסיף אימות.  מונעים מ-x לבצע IP Spoofing עלהכתובת של y. • מניעת עקיפת מדיניות מערכת • ל-x מותר לבצע telnet ל-w רק עםאימות. • ל-x אסור לבצע http ל-w.  מונעים מ-x לשלוח http. x w הגנה במערכות מתוכנתות - תרגול 12

More Related