úterý 29. března 2016

IPSec - Úvod - část 1

Rozhodl jsem se popsat IPSec. Důvodů jsem měl několik a to především absence nějakého komplexního informačního zdroje, který jsem sám hledal.

IPSec můžeme považovat za jakýsi framework, neboli sadu protokolů pro bezpečnou komunikaci v prostředí internetu. Pokud to zjednodušíme, je to typ VPN a rozhodně to není žádný protokol. Pracuje na 3(síťové) vrstvě OSI/ISO modelu a je složen z 5 základních kamenů:

  • První částí je IPSec protokol. Máme na výběr AH(Authentication Header) nebo ESP (Encapsulating Security Payload)
  • Druhou částí jsou algoritmy pro šifrování, zajišťující důvěrnost dat . DES ani 3DES již nejsou doporučovány, takže volíme AES a zde se rozlišuje délka klíče.
  • Třetí je integrita - nezměnitelnost dat. Zde je k dispozici MD5 - slabé nebo SHA s různou délkou secret key.
  • Dále je tu autentifikace, což zde představuje způsob vzájemného ověření dvou koncových bodů, která se snaží vytvořit spojení. Máme na výběr PSK(Pre-Share key) nebo RSA - digitální certifikát.
  • Poslední částí je způsob generování klíčů(o jejich výměnu se stará IKE). Zde si můžeme vybrat různá skupiny Diffie-Hellman.

AH vs ESP

IPSec stojí na těchto dvou protokolech, které představují základní a první volbu, kterou je třeba při výběru IPSec učinit. Rozdíl je podstatný

AH - je IP protokol 51. Poskytuje integritu a autentifikaci - chybí zde možnost šifrování. Poskytuje mnohem slabší zabezpečení než ESP. Integrita a autentifikace zprostředkována pomocí jednocestné hashovací funkce. Z odesílaného paketu je spočítán hash, který je kombinován s klíčem - tím je dosaženo i autentifikace. K původnímu paketu je tento hash přiložen. Na druhé straně je proveden stejný postup a oba hashe se porovnají. Hash originálního paketu je vytvořen z datové části a IP hlavičky. Část(TTL), která se po cestě mění je vynechána. Hash musí sedět na jeden bit. Na obrázku níže vidíme AH paket v Transport mode a poté při Tunnel mode, o kterých bude více později.

AH paket - Transport mode

AH paket - Tunnel mode

AH hlavička obsahuje následující pole:
  • Next Header - Identifikuje další hlavičku, ve které je id IP protokolu - pro TPC=6
  • Length - zde je délka AH hlavičky
  • Security Parametres Index (SPI) - Je používáno v kombinaci s cílovou adresou a vybraným IPSec protokolem pro indetifikaci SA(Security Association - viz. dále), které se použije.
  • Sequence number - pro využití anti-replay - vysvětleno níže u ESP.
  • Authentication Data - Obsahuje ICV (Integrity Check Value) - pro ověření integrity paketu.  




ESP - je IP protokol 50. Na rozdíl od AH poskytuje možnost šifrování, ale není to podmínkou. Minimálním požadavkem je nastavit šifrování nebo autentifikaci - jeden musí být vybrán. Vždy záleží na implementaci daného výrobce, které šifrovací algoritmy jsou podporovány, ale většinou to bývají: DES,3DES a AES s různou bitovou délkou klíče. ESP dle vybraného módu šifruje celý paket včetně IP hlavičky, případně pouze data při Transport mode. Šifrování je prvním krokem a poté se provede hashovací funkce, která opět poskytuje integritu a autenticitu. ESP umožňuje nastavení Anti-replay protection, což je ochrana proti vložení jiných paketů do streamu dat. Pakety se při odesílání číslují a vždy se zvýší počítadlo. Příjemce ověřuje, jestli přišel paket se správným pořadovým číslem a také, jestli již daný paket nedorazil. U AH je tato funkce také podporována.

ESP Paket - Ttransport mode.




ESP paket - Tunnel mode.

ESP Hlavička obsahuje:
  • SPI -  stejné jako u AH
  • Sequence number - stejné jako u AH
ESP Trailer obsahuje:
  • Padding  -  složí pro zarovnání paketu
  • Padding Length  - zde je dálka Padding. Pro příjemce informace, kolik toho má zahodit.
  • Next Header - Identifikuje hlavičku části Data.
ESP Autentifikace obsahuje:
  • Authentication Data - stejné jako u AH


Tunnel vs Transport mode

Rozdíly jsou již trochu patrné z obrázků paketů výše. U Transport mode je bezpečnost pouze na 4 vrstvě OSI/ISO modelu - IP hlavička je nešifrovaná a ponechána původní.  Tunnel mode šifruje i původní IP hlavičkou a přidává novou. Tedy je celý původní paket chráněn.









Žádné komentáře:

Okomentovat