2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 1/38 Virtual Private Network alapok titkosítás, IPsec Kovács József

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 2/38 Miről lesz szó? •Néhány gondolat a hálózat- biztonságról •VPN – virtuális magánhálózatok •Tanusítvány •IPsec

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 3/38 Hálózatbiztonság – egy „külön szakma” PAP CHAP SKIP 3-DES PPTP L2F L2TP SSL Extranet Firewall ISAKMP-Oakley KEYs CypherText Digital Certificates SHA-1 MD-5 IKE LDAP PKI QoS

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 4/38 A hálózatbiztonság kiépítésének általános modellje Source: Axent / SNCI

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 5/38 Néhány eszköz a hálózatbiztonság megteremtésére •Tűzfalak •VPN rendszerek •Vírusvédelem •Átfogó hálózat felügyelet (menedzsment) •Titkosítás •Hozzáférési kontroll •Azonosítás (Autentikáció) •Fizikai védelem

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 6/38 Telecommuters & Remote Users Branch Offices Web Site Corporate Headquarters Customers & Consultants Mobile Users & Field Sales FRAME RELAY INTERNET DEDICATED IP NETWORK Suppliers Mi az a VPN? VPN – Virtual Private Network Virtuális magánhálózat VPN – Virtual Private Network Virtuális magánhálózat Biztonságos magánhálózati kialakítás nyilvános hálózaton keresztül

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 7/38 A virtuális magánhálózat lehetővé teszi: •a szervezetek biztonságos kommunikációját a telephelyek, helyszínek között (Site to Site VPN) •távoli felhasználók biztonságos kommunikációját a szervezet hálózatával (Remote Access VPN)

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 8/38 Egy általános VPN hálózat felépítése System Administrators VPNmanager Console VSU-2000 Üzleti partner T1 T3 Távoli felhasználók Vállalati kp. Internet ISP VSU-7500 Router VPNmanager Server Vállalati alkalmazások Router Cable, DSL, Dial-up, or ISDN VPNremote Client Software VSU-7500 Syslog Server Szolgáltatói hálózat T1 Router VSU-100 Távoli iroda Extranet Intranet ISP Távoli elérés Alkalmazás szolgáltatás

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 9/38 Tanúsítvány

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 10/38 Tanúsítványok •A kérdés: kiben lehet megbízni, amikor nyílt kulcsú titkosítást használsz? •A válasz: bárkiben megbízhatsz, akiben egy harmadik mindenki által elfogadott fél megbízik •Ez a „bizalom átadás” a tanúsítvány

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 11/38 Mi a tanúsítvány? •A tanúsítvány összerendeli a nevet (IP címet ebben a környezetben)és a publikus kulcsot The binding is done by digital signature. •A tanúsítványt a CA(certificate authority) állítja ki.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 12/38 Tanúsítvány •Minden VPN-nek kell CA. •A CA mutatja be a tanúsítványokat a VPN eszközöknek. •A tanúsítvány válasz hitelesített egy hitelesítő kulccsal. •Minden tanúsítványban van egy lejárati dátum beleépítve.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 13/38 A tanúsítványban lévő információk •A tárgy azonosítója. •A kiállító azonosítója. •A tárgy publikus kulcsa. •Lejárati idő. •CRL (Certificate Revocation Lists). •Policy, megszorítások (opcionális).

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 14/38 X.509 •X.509 nemzetközileg elfogadott tanúsítvány szabvány. •Szabott helye van a CA struktúrában.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 15/38 Titkosítás

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 16/38 Public Key Algorithm Private Key Public Keys

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 17/38 Diffie Hellman A Private Key B Private Key A Public Key B Public Key Symmetric Key + +

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 18/38 Symmetric Vs. Public key cryptography •Szimetrikus titkosítás (DES / 3DES). –A kérdés: a kulcsok kezelése Encryption Plain Decryption Cipher Plain A B

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 19/38 Symmetric Vs. Public key cryptography •Public key cryptography (DH / RSA). –kérdés : lassú, bizalom Encryption Plain Decryption Cipher Plain AB Public key Private key

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 20/38 Digitális aláírás algoritmusa •Public key cryptography: –private key használata az aláíráshoz. –public key használata az azonosításhoz. –példa : RSA. •Symmetric cryptography: –Ugyanazon secret key használata az aláíráshoz és az azonosításhoz is. –példa : DES-MAC.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 21/38 IPSEC

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 22/38 IPSEC •IPSEC egy protokoll a IP csomagok titkosításához és azonosításához. •Minden egyes IP csomagot egy IPSEC csomagba csomagolják.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 23/38 Tunnel mode •A csomagokat a security gateway-ek becsomagolják IPSEC-be, továbbítják a távoli security gateway felé, amely kicsomagolja és kézbesíti a célcímnek. •A két security gateways egy ‘tunnel’-t feszít ki. •A két host-nak nincs tudomása az egész titkosítási folyamatról.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 24/38 IPsec •IETF által létrehozott •Cél: Integritás és bizalom a hálózati rétegben •Protokollok –Encapsulation (AH, ESP) –Automatic key management (IKE - ISAKMP/Oakley)

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 25/38 A tunnel-ezett csomagok MAC IP TCP Application UDP IPSEC IP

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 26/38 Tunnel Mode Server HUB IP TCP Application UDP IP TCP Application UDP Host IPsec Gateway IP AH/ESP Protected Data IP AH/ESP Protected Data Protected Traffic Clear Headers IPsec gateway Internet Router

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 27/38 ESP és AH •Az ESP (Encapsulation Protocol) az IPSEC protokoll-családnak a csomagok titkosításához és azonosításhoz használatos protokollja. •Az AH (Authentication Header) egy másik, csak azonosításhoz használható protokoll. •Az azonosítás egyszerű, de nem azonos a két esetben.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 28/38 Replay counter •A replay counter arra való hogy védekezzünk az újraadás ellen. •Minden csomag kap egy egyedi ID-t. Az ID egy számláló, amely minden csomagnál csökken. •Ha egy csomag kétszer érkezik meg, vagy nem megfelelő sorrendben, akkor az egy esetleges betörés jele.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 29/38 IV - Initial vector •DES-CBC titkosítási algoritmusban minden titkosított csomagot blokkonként (8 bytes) egy előtag előzi meg. •Az első blokk IV-n alapul.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 30/38 Security Association (SA) •Az SA-t a két kommunikáló fél osztja meg egymás között. •Az SPI (Security Parameter Index) egy szám, amely indexként szolgál az SA számára. •Minden SA-nak két SPI-je van: incoming & outgoing. •Az SPI-t a vevő oldal állapítja meg.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 31/38 Kulcs Menedzsment •Ahhoz, hogy az SA kiépüljön, szükséges, hogy a két fél minden biztonsági paramétert egyeztessen, amibe beletartozik a a kulcsok kicserélése is. •IKE (Internet Key Exchange) egy protokoll a kulcs menedzsment számára. •Leírja, hogy hogyan lehet SA-t létesíteni. •IKE az ISAKMP & OAKLEY protokollokon alapul, kombinálva az IPSEC DOI-val.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 32/38 IKE Main mode •Az alap metódus készít egy SA-t, amelyet később a Quick Mode üzenetek védelméhez fog használni. A Quick mode egy SA-t generál, amelyet az IPsec fog használni. •A generált SA-t ISAKMP SA-nak hívják.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 33/38 IKE Main Mode (folyt.) •Main Mode három részre bontható (hat üzenetváltás) : –SA ajánlás és reagálás – az adó és a vevő megegyezik a ISAKMP SA paraméterekben. –KE ajánlás és reagálás- DH public kulcsok cseréje. –ID ajánlás és reagálás- azonosító adatok cseréje.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 34/38 IKE Main Mode SA Header SA Key Nonce 1 2 ID 1 2 Sig 2 Cert. Encrypted InitiatorResponder

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 35/38 IKE Quick Mode •Quick Mode három üzenetből áll: –SA proposal + nonce + ID. –SA response + nonce + hash + ID. –Acknowledge + hash. •The Quick Mode üzenetek a Main mode-ban létrehozott ISAKMP SA által védettek.

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 36/38 IKE Quick Mode Header InitiatorResponder Hash- 3 HeaderHash- 2 SANonce- 2 KeyID HeaderHash- 2 SANonce- 2 KeyKeyID

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 37/38 A VPN hálózatok előnyei Költségmegtakarítás: • 20-40% site to site VPN-ek esetében • 60-80% remote access VPN-ek esetében Rugalmasság: • Új telephely, új felhasználó csatlakoztatása rendkívül egyszerű. Nem kell hozzá más, csak egy Internet csatlakozás, és egy VPN Gateway vagy kliens szoftver Biztonság: • A VPN hálózatok az alkalmazott technológiáknak, protokolloknak és szabványoknak köszönhetően fokozott biztonságot élveznek IP telefónia támogatása: • VPN hálózatok IP telefónia alkalmazása esetében is kiépíthetők Egyszerű menedzsment

2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 38/38 Köszönöm a figyelmet!