PDUs in TCP/IP TCP Header User Data IP Header User Data Network Header User Data User Data Application Byte Stream TCP Segment IP Datagram Network-level Packet... Security Association
Trang 1IP Security – Phần 1
Trang 3Báo cáo c a CERT – H u h t các t n công ủ ầ ế ấ
nghiêm tr ng là gi m o IP và phân tích gói tin/ ọ ả ạ nghe tr m thông tin ộ
Trang 4chi nhánh và tr s qua Internet ụ ở
m b o an toàn các truy c p t xa qua
Trang 5ng d ng c a IP Security
Trang 6L i ích c a IPSec ợ ủ
m b o an toàn cho t t c l u l ng khi
đi qua vòng b o v (gi s IP Sec đ ả ệ ả ử ượ c áp
d ng trên firewall ho c router) ụ ặ
ng d ng IPSec trên m t firewall s đ m
Cung c p ch đ an toàn cho các cá nhân ấ ế ộ riêng l n u c n thi t – NV làm vi c xa c ẻ ế ầ ế ệ ơ quan, VPN
Trang 7Routing & IPSec
Router advertisement đ n t router ế ừ
Ch ng l i các hành đ ng làm t n h i h ố ạ ộ ổ ạ ệ
th ng ho c sai l ch l u l ố ặ ệ ư ượ ng.
Trang 8Network Security
Basic Networking – Part A
Trang 9Protocols in a Simplified
Architecture
Trang 10Protocol Data Units
Trang 11Operation of a Protocol
Architecture
Trang 12TCP and UDP Headers
Trang 14TP/IP Concepts
Trang 15PDUs in TCP/IP
TCP Header
User Data
IP Header User Data
Network
Header
User Data
User Data
Application Byte Stream
TCP Segment
IP Datagram
Network-level Packet
Trang 16Some TCP/IP Protocols
Trang 17Assigned Port Numbers
Sun NFS2049
kerberos88
radiusauth1812
http80
rip2520
DNS53
isakmp500
rip39
https443
smtp25
ldap389
telnet23
ntp123
ftp21
nntp119
ftp-data20
pop3110
echo7
Service Port
Service Port
Trang 18Configuration of TCP/IP
Trang 19Alternate Routing Diagram
Trang 20IP Security – Phần 1
Trang 21RFC 2406 – Packet Encryption Extension
RFC 2408 – Key Management Capabilities
B t bu c trong IPv6 ắ ộ
Trong IPv4, đ ượ c th c thi nh m t tiêu ự ư ộ
đ m r ng (extension headers) theo ề ở ộ
sau tiêu đ chính: ề
Authentication Header (AH)
Encapsulating Security Payload
Header (ESP)
Trang 22Các tài li u IPSec ệ
packet format
Domain of Interpretation relation between documents (identifiers and parameters)
Trang 24IPSec Services – 2 Protocols
Authentication protocol – giao th c authentication ứ header (AH)
Encryption/Authentication protocol –
Encapsulating Security Payload (ESP); là c ch ơ ế
cung c p tính n ng toàn v n và b o m t cho các ấ ă ẹ ả ậ
gói tin IP
AH và ESP là ph ươ ng ti n đ đi u khi n truy c p ệ ể ề ể ậ
Trang 25IPSec Services
two cases
Trang 26Security Associations
Khái ni m: ệ
• Security Association (SA) – Là m t m i quan h ộ ố ệ
1 chi u gi a bên g i và bên nh n, dùng cho ề ữ ử ậ
các d ch v an ninh đ ị ụ ượ c cung c p cho ng ấ ườ i
s d ng ử ụ
• Các yêu c u đ ầ ượ ư c l u trong 2 CSDL: security policy database (SPD) và security association database (SAD)
Trang 27thu t toán mã hóa (transforms) ậ
• Security parameter index (SPI) – chu i bit có m c ỗ ụ đích cung c p cho bên nh n bi t c n ph i l a ch n ấ ậ ế ầ ả ự ọ
SA nào bên nh n đ x lý thông tin đ n ậ ể ử ế
Trang 30Security Association
Database
M i h th ng IPSec có m t CSDL SA ỗ ệ ố ộ Security Association Database (SAD)
SAD đ nh ngh a các tham s g n v i m i SA ị ĩ ố ắ ớ ỗ
SAD ch a các c p SA, vì m i SA ch có m t ứ ặ ỗ ỉ ộ
chi u ề
Trang 31Security Association
Database
Sequence number counter
Sequence counter overflow
Trang 32Security Policy
Database
Cung c p s linh ho t trong vi c áp d ng các ấ ự ạ ệ ụ
d ch v IPSec cho l u l ị ụ ư ượ ng IP
Có th phân bi t gi a l u l ể ệ ữ ư ượ ng đ ượ c áp d ng ụ
s b o v c a IPSec và l u l ự ả ệ ủ ư ượ ng đ ượ c b qua ỏ
b i IPSec ở
Security Policy Database (SPD) là ph ươ ng ti n ệ
đ k t n i l u l ể ế ố ư ượ ng IP v i các SA t ớ ươ ng ng ứ
Trang 34IPSec protocol – AH or ESP or AH/ESP
Source and destination ports
IPv6 class
IPv6 flow label
IPv4 type of service (TOS)
Trang 35Security Policy
Database
X lý gói tin đi ra: ử
0) So sánh các tr ườ ng trong gói tin đ tim b n ể ả ghi SPD kh p ớ
1) Xác đ nh SA và ch s SPI t ị ỉ ố ươ ng ng ứ
2) Th c hi n các x lý IPSec c n thi t ự ệ ử ầ ế
Trang 36Tunnel – b o v toàn b gói tin (k c tiêu đ ) ả ệ ộ ể ả ề
Trang 37Ch đ Transport ế ộ
Ph m vi b o v ch áp d ng cho ph n d li u c a ạ ả ệ ỉ ụ ầ ữ ệ ủ gói tin IP
B o v cho d li u giao th c t ng trên – TCP, UDP, ả ệ ữ ệ ứ ầ ICMP
Ch y u dùng cho truy n thông gi a các tr m ủ ế ề ữ ạ
Trang 38Ch đ Tunnel ế ộ
B o v toàn b gói tin ả ệ ộ
Thêm m t tiêu đ m i bên ngoài đ t o 1 gói ộ ề ớ ể ạ tin IP m i bao gói tin c ớ ũ
Các tr ườ ng AH ho c ESP đ ặ ượ c thêm vào gói tin
IP và toàn b gói tin c đ ộ ũ ượ c xem nh ph n d ư ầ ữ
li u c a gói tin m i ệ ủ ớ
Gói tin đ ượ c coi nh truy n qua m t đ ư ề ộ ườ ng
h m t đi m này t i đi m khác trên m ng ầ ừ ể ớ ể ạ
Trang 39Tunnel and Transport
Mode
Trang 40Transport vs Tunnel Mode
Trang 41Authentication Header
Trang 43IPSec Authentication
Header
Trang 44Authentication Header
Next header – type of header following
Payload length – length of AH
Reserved – future use
Security Parameters Index – idents SA
Sequence Number – 32bit counter
Authentication data – variable field that
contains the Integrity Check Value (ICV), or
MAC
Trang 45D ch v ch ng g i l p ị ụ ố ử ặ
Replay Attack: T n công g i l p – B t gi 1 ấ ử ặ ắ ữ
b n sao c a gói tin đã đ ả ủ ượ c ch ng th c và sau ứ ự
đó g i l p l i gói tin đ n nút đích ử ặ ạ ế
M c đích là làm t n h i d ch v ụ ổ ạ ị ụ
S trình t đ ố ự ượ c dùng đ ng n ch n ki u t n ể ă ặ ể ấ
công này
Trang 46Anti-Replay Service
Bên g i kh i t o b đ m s trình t v 0 và t ng ử ở ạ ộ ế ố ự ề ă lên 1 m i khi có 1 gói tin đ ỗ ượ c g i ử
Trang 47c a s lên v trí m i là s trình t gói tin m i ử ổ ị ớ ố ự ớ
N u gói tin nh n đ ế ậ ượ c n m v bên trái c a s , ằ ề ử ổ
ho c ch ng th c không đ t -> h y gói tin và ặ ứ ự ạ ủ
đánh d u s vi c ấ ự ệ
Trang 48Anti-Replay Mechanism
W = 64
N = 104
Trang 49đ ượ c t o ra b i 1 thu t toán MAC ạ ở ậ
Giá tr HMAC đ ị ượ c tính, nh ng ch có 96 bits ư ỉ
đ u đ ầ ươ c s d ng ử ụ
HMAC-MD5-96
HMAC-SHA-1-96
MAC đ ượ c tính trên các tr ườ ng không thay
đ i trong quá trình truy n (ví d đ a ch ổ ề ụ ị ỉ
ngu n ….) ồ
Trang 50End-to-end Authentication
tunnel transport
Two Ways To Use IPSec Authentication Service
Trang 51AH trong ch đ ế ộ Tunnel và Transport
Áp d ng trong các phiên b n IPv4 và IPv6 khác ụ ả nhau
Ch ng th c toàn b gói tin ứ ự ộ Các tr ườ ng thay đ i trong quá trình truy n ổ ề
đ ượ c đ a v 0 tr ư ề ướ c khi tính MAC
What’s a mutable field?
Trang 52Ph m vi ch ng th c c a AH ạ ứ ự ủ
Trang 53Ph m vi ch ng th c c a AH ạ ứ ự ủ
Trang 54Network Security
IP Security – Part 2
Trang 56Encapsulating Security
Payload
Trang 57Encapsulating Security
Payload
Security Parameters Index – idents SA
Sequence Number – 32bit counter
Payload Data – variable field protected
by encryption
Padding – 0 to 255 bytes
Pad Length – number of bytes in
preceding
Next header – type of header following
Authentication data – variable field that contains the Integrity Check Value (ICV)
Trang 58IPSec ESP Format
Trang 593DES, PC5, IDA, 3IDEA, CAST, Blowfish ESP h tr ỗ ợ 96bit MAC t ươ ng t AH ự
Trang 61Transport vs Tunnel Mode
transport mode
tunnel mode
Trang 62Scope of ESP Encryption
Trang 63Security Association Bundle ch m t chu i các ỉ ộ ỗ SAs đ ượ c s d ng ử ụ
Các SAs trong chu i có th k t th c t i các ỗ ể ế ứ ạ
đi m cu i khác nhau ể ố
Trang 64K t h p SAs ế ợ
SAs có th k t h p trong chu i theo 2 d ng: ể ế ợ ỗ ạ
– Transport adjacency – áp d ng nhi u ụ ề giao th c an ninh vào cùng 1 gói tin ứ
IP mà không thi t l p đ ế ậ ườ ng h m, ch ầ ỉ dùng 1 m c k t h p, không l ng nhau ứ ế ợ ồ
– Iterated tunneling – áp d ng nhi u l p ụ ề ớ
b o m t thông qua thi t l p đ ả ậ ế ậ ườ ng
h m, nhi u l p b o m t l ng nhau ầ ề ớ ả ậ ồ
Trang 67Authentication +
Encryption
Transport Adjacency
S d ng chu i 2 SAs transportử ụ ỗ
SA trong là ESP SA, SA ngoài là AH SA
Trang 68h n khi ki m tra ch ng th c sau nàyơ ể ứ ự
S d ng chu i SA, bao g m SA trong là AH ử ụ ỗ ồ
SA theo ch đ transport, SA ngoài là ESP ế ộ
Trang 702 ESP in transport mode
3 AH followed by ESP in transport mode (an AH
SA inside an ESP SA)
4 Any one of a, b, or c inside and AH or ESP in
tunnel mode
Trang 71Basic Combinations –
Case 1
Trang 72Basic Combinations –
Case 2
D ch v an toàn ch đ ị ụ ỉ ượ c cung c p gi a các ấ ữ
gateways và các host không áp d ng IPSec ụ
VPN – Virtual Private Network
Only single tunnel needed (support AH, ESP or ESP w/auth)
Trang 73Basic Combinations –
Case 2
Trang 74Gateway-to-gateway tunnel is ESP
Các host riêng bi t có th áp d ng thêm các ệ ể ụ
d ch v IPSEC qua các SA end-to-end ị ụ
Trang 75Basic Combinations –
Case 3
Trang 76Basic Combinations –
Case 4
Cung c p d ch v an toàn cho tr m truy c p t ấ ị ụ ạ ậ ừ
xa qua Internet và k t n i t i firewall ế ố ớ
Ch ch đ tunnel đ ỉ ế ộ ượ c áp d ng gi a tr m t xa ụ ữ ạ ừ
và firewall
M t ho c nhi u SAs có th đ ộ ặ ề ể ượ c áp d ng thêm ụ
gi a tr m xa và tr m c c b ữ ạ ở ạ ụ ộ
Trang 77Basic Combinations –
Case 4
Trang 78xmit and receive pairs for both AH & ESP
Two modes: manual and automated
Two protocols:
Oakley Key Determination Protocol
Internet Security Association and Key
Management Protocol (ISAKMP)
Trang 79Two users A and B agree on two global
parameters: q, a large prime number
and α , a primitive root of q (see p.68)
Secret keys created only when needed
Exchange requires no preexisting
infrastructure
Disadvantage: Subject to MITM attack
Trang 80Enables the exchange of Diffie-Hellman
public key values
Authenticates the Diffie-Hellman exchange
to thwart MITM attacks
Trang 81Aggressive Oakley Key
Exchange
Trang 82ISAKMP
Defines procedures and packet formats to
establish, negotiate, modify and delete SAs
Defines payloads for exchanging key
generation and authentication data
Now called IKE
Trang 83ISAKMP Formats
Trang 84ISAKMP Payload Types
Trang 85ISAKMP Exchanges
Provides a framework for message exchange
Payload type serves as the building blocks
Five default exchange types specified
SA refers to an SA payload with associated
Protocol and Transform payloads
Trang 86ISAKMP Exchange Types
Trang 87Internet Key Exchange
IKE is now at Ver 2 – defined in RFC4306, 12/05
It works within ISAKMP framework
Uses Oakley and Skeme protocols for
authenticating keys and rapid key refreshment
Trang 88Network Security
Basic Networking – Part B
Trang 89IPv6
1995 – RFC 1752 IPng
1998 – RFC 2460 IPv6
Functional enhancements for a mix of data
streams (graphic and video)
Driving force was address depletion
128-bit addresses
Started in Solaris 2.8, Windows 2000
Trang 90IPv6 Packet w/Extension
Headers
Trang 91OSI Layers
Trang 92OSI Environment
Trang 93OSI-TCP/IP Comparison
Trang 94Network Security
IP Security – Part 2
Trang 95Ethereal
Ethereal is a free netw ork protocol
analyzer for Unix and Windows
Packet Sniffer - data can be captured
"off the wire" from a live network
connection
www.ethereal.com - Everything you ever wanted to know about ethereal
wiki.ethereal.com - This is the “User's
Manual;” also has has a nice
“References” section
Trang 97Ethereal Etiquette
Be careful when and where you use this tool
It makes people nervous
Use prudence with the information you collect
When in doubt, seek permission!
Trang 98Other Sniffing Tools
network protocol analysis and security cracking It can be
used to intercept traffic on a network segment, capture
passwords, and conduct man-in-the-middle attacks against a number of common protocols.
Unlike tcpdump and other low-level packet sniffers, dSniff
also includes tools that decode information (passwords, most infamously) sent across the network, rather than simply
capturing and printing the raw data, as do generic sniffers
like Ethereal and tcpdump.
packet sniffer, that provides network engineers with a view of the data traversing a Wireless LAN network AiroPeek was
created in 2001 and its interface was based closely on
have some “free” utilities.
Trang 99Important URLs
www.insecure.org/tools.html
Site has the top 50 security tools
Nmap is a free software port scanner It is used
to evaluate the security of computers, and to discover services or servers on a computer
network.
Unix Featuring link layer, ip and TCP modes, it displays network activity graphically Hosts
and links change in size with traffic Color
coded protocols display.
Be judicious in the use of these tools!
Trang 100Homework
Read rest of Chapter Six
Mid-Term Exam (take home) is due next
class
No late submissions
Trang 101Spring Fever – Enjoy It!
