DAS_3_Bezpečnost
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
po vyčerpání řady dohoda nového SA)
o Všechny funkce AH mohou být plněny ESP – AH zatím udržován z historických
důvodů
o Autentizační hlavička (v transportním módu):
Encapsulating Security Payload (ESP)
o Šifrování přenášených dat, volitelná kontrola integrity (jen data) a autentizace včetně
anti-replay
o Obsahuje SPI, sekvenční číslo a inicializační vektor
o Data pro autentizaci/test integrity na konci (ESP trailer) – možnost HW implementace
výpočtu HMAC
o ESP header v a) transportním a b) tunelovém módu:
Security Association (SA)
o Definuje šifrovací parametry pro jeden směr provozu mezi dvojicí komunikujících
zařízení (algoritmus, klíče, doba platnosti klíčů, …)
o Dohaduje se v první fázi (IKE)
o Oddělené SA pro AH, ESP a IKE
o IPSec SA jsou jednosměrné, IKE SA obousměrné
o Definovaná životnost (čas/přenesený objem dat)
Fáze provozu IPSec:
1. Výměna klíčů (asymetrický systém) a dohoda šifrovacích parametrů (algoritmus, hash
algoritmus, životnost klíčů, …)
– Diffie-Hellman algoritmus poskytuje způsob dohody sdíleného klíče mezi
dvěma stranami za použití komunikace přes nezabezpečený kanál bez
možnosti odposlechu klíče třetí stranou
– Diffie-Hellman neřeší autentizaci, obvykle k tomu použity staticky
konfigurované symetrické klíče (pre-shared keys).
Identita zařízení v ISAKMP je buďto hostname nebo IP adresa.
1.1 (IKE Phase 1): zřízení bezpečného kanálu pro výměnu IPSec SA (dohoda IKE SA)
1.2 (IKE Phase 2): dohoda IPSec SA (zvlášť pro AH a ESH)
2. Přenos dat s použitím symetrického šifrování s dohodnutými klíči
Módy IPSec:
• Transportní
o zabezpečení stanice-stanice, implementace IPSec v operačních systémech
o hlavičky AH a příp. ESP se vkládají mezi L3 a L4 hlavičku původního paketu
o původní IP header nešifrován
Poznámky:
- Podle L4 záhlaví nemůže být na cestě filtrováno (je zašifrováno)
- Není kompatibilní s NAT, zdrojová IP adresa je chráněná autentizací/integritou
• Tunelový
o zabezpečení jen mezi routery (IPSec Gateway) oddělující koncové LAN od
veřejné sítě
o hlavičky AH a příp. ESP se vkládají na začátek obalovacího paketu, za nimi
celý původní tunelovaný paket
o šifrován celý původní paket – nelze odposlouchat ani kdo s kým komunikuje
o nepotřebuje podporu IPSec v koncových stanicích
ESP Trailer (autentizace) vždy na konci, doplnění zprávy na velikost bloku šifry
Hlavičky AH, ESP a typ původně neseného L4 protokolu se řetězí (jako v IPv6).
Konfigurace IPSec:
• definice ACL se sítěmi, na něž se bude provoz šifrovat (a odkud se má očekávat
šifrovaný provoz)
• konfigurace přípustných alternativ parametrů pro dohodu IKE SA
• konfigurace přípustných alternativ parametrů pro dohodu IPSec SA
• označení interface začátku/konce IPSec tunelu
• Upravit ACL, aby byl provoz IPSec propuštěn (speciální typy protokolů (AH,ESP)