IPsec, IKE и смежные технологии Рябко С.Д., к.ф.-м.н.

реклама
IPsec, IKE
и смежные технологии
Рябко С.Д., к.ф.-м.н.
СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА
Cisco Solution Technology Integrator
IPsec, IKE И СМЕЖНЫЕ ТЕХНОЛОГИИ
Предпосылки и требования
Архитектура IPsec
Протокол IKE
Применения
Литература
Предпосылки и
требования
Cisco Solution Technology Integrator
Безопасность ... задолго до TCP IP
Paul Baran. RAND MEMORANDUM RM-3765-PR, AUGUST 1964. On Distributed
Communications: IX Security, Secrecy, and Tamper-Free Considerations
DTE
DCE
L2-шифрование
L3-шифрование
© 2003-2007 S-Terra CSP
3
Проблемы безопасности TCP/IP

TCP/IP проектировался, как коммуникационный
протокол с целями:
- надежной передачи данных через гетерогенные физические
среды
- контроля связности сети и маршрутизации
- оптимизации загрузки, адаптации транспортных сервисов к
условиям сети
TCP/IP ИЗНАЧАЛЬНО НЕ ПРОЕКТИРОВАЛСЯ
КАК ЗАЩИЩЕННАЯ КОММУНИКАЦИОННАЯ СРЕДА

Результаты:
-
IP-атаки
ICMP-атаки
атаки на системы маршрутизации
UDP- и TCP-атаки
атаки на уровне прикладных протоколов
© 2003-2007 S-Terra CSP
4
IPsec, зачатие

BOF-сессия IETF в Бостоне в 1992 году, Элтон
Гувер (Alton Hoover):
- «Протокол защиты сетевого уровня будет
создан, чтобы обеспечить криптографические
сервисы защиты: аутентификацию,
целостность, контроль доступа и
конфиденциальность. Первоначальными целями
будет поддержка взаимодействия между
компьютерами, вслед на тем – между двумя
подсетями и между компьютером и подсетью»
© 2003-2007 S-Terra CSP
5
Требования к протоколам защиты
1. Аутентификация, целостность, контроль
доступа и конфиденциальность
2. Cеть-сеть, клиент-сеть, клиент-сервер (др.
клиент)
3. Нейтральность по отношению к
криптоалгоритмам
4. Независимость мастер-ключа и временного
ключа
5. Пересинхронизация ключевых контекстов
-
по мере накопления статистики для криптоанализа
по событиям
6. Целостность потока пакетов  уход от
дейтаграммной природы IP, контекст
соединения, SA
© 2003-2007 S-Terra CSP
6
Требования по управлению ключами
1. Установление ключа (key establishment) – генерация
ключа и доставка его потребителю
2. Аутентификация – поддержка множества механизмов
аутентификации: симметричный ключи и сертификат,
одноразовый пароль и серверы аутентификации
(RADIUS и т.п.), произвольные комбинации этих
механизмов
3. Симметрия – равная способность каждой из сторон
создать ключ для защищенного обмена;
относительная устойчивость к DoS-атаке
4. Защита сеансового ключа (perfect forward secrecy)
5. Независимость сеансовых ключей (back traffic
protection)
6. Согласование политик безопасности сторон
7. Расширяемость (payload, domain of interpretation)
© 2003-2007 S-Terra CSP
7
© 2003-2007 S-Terra CSP
IETF-36, 24-28.VI.1996
IETF-35, 4-8.III.1996
1995
IETF-34, 4-8.XII.1995
(нет информации)
IETF-33, 17-21.VII.1995
IETF-32, 3-7.IV.1995
1994
IETF-31, 5-9.XII.1994
IETF-30, 25-29.VII.1994
IETF-29, 28.III-1.IV.1994
Oakley
RFC 1825-1829
ISAKMP
Photuris
SKIP
История группы IPsec в IETF 1993-1996
40
Общее число рассмотренных предложений
20
Новые спецификации на текущей сессии
0
1996
8
IPsec, IKE И СМЕЖНЫЕ ТЕХНОЛОГИИ
Предпосылки и требования
Архитектура IPsec
Протокол IKE
Применения
Литература
Архитектура IPsec
Cisco Solution Technology Integrator
IPsec. Основные стандарты


RFC 2402 «IP Authentication Header»
(AH) – обеспечивает целостность и
аутентификацию передаваемых
пакетов, целостность потока пакетов
RFC 2406 «IP Encapsulating Security
Payload» (ESP) – обеспечивает
конфиденциальность (шифрование),
целостность и аутентификацию
источника данных передаваемых
пакетов, ограниченную
конфиденциальность потока данных,
защиту от повторно переданного
пакета
-


© 2003-2007 S-Terra CSP
протоколы AH и ESP могут
использоваться совместно или по
отдельности
RFC 2408 «Internet Security Association
and Key Management Protocol»
(ISAKMP) - обеспечивает согласование
параметров, создание, изменение,
уничтожение контекстов защищенных
соединений (далее – Security
Association, SA) и управление
ключами
RFC 2409 «The Internet Key Exchange»
(IKE) – развитие (адаптация) ISAKMP
для работы с протоколами IPsec
10
Туннельный и транспортный режимы


Протоколы IPsec работают в двух
режимах: транспортном
(взаимодействие хостов) и
туннельном (взаимодействие с
подсетями)
Транспортный режим
-
ниже вычислительные и
коммуникационные накладные
недостатки:
•
•

Туннельный режим
-
-
© 2003-2007 S-Terra CSP
невозможность скрыть топологию сети
ESP в транспортном режиме не защищает
заголовок IP-пакета
взаимодействие сеть-сеть, хостсеть, возможно также – хост-хост
скрывает топологию сети,
поскольку снаружи выставляется
другой заголовок (а исходный
шифруется)
потребляет несколько больше
ресурсов
11
IPsec. Протокол AH



© 2003-2007 S-Terra CSP
Аутентификация
источника и данных
каждого IP пакета
(является
эффективным
методом борьбы с
атаками типа
перехвата,
модификации
трафика и подмены IP
адресов)
Целостность данных
IP пакетов, данные
пакетов передаются в
незашифрованном
виде
Защита от повторной
передачи пакетов
12
IPsec. Протокол AH



При расчете значений хеш-сумм для контроля целостности
данных (integrity check value, ICV) не используются переменные
поля IP-заголовка оригинального пакета
AH заголовок увеличивает длину оригинального IP пакета
приблизительно на 24 байта
Криптографические алгоритмы хеширования поддерживаемые
протоколом AH:
- обязательные (для обеспечения совместимости
продуктов различных производителей):
программных
• HMAC-MD5-96 (RFC 2403)
• HMAC-SHA-1-96 (RFC 2404)
- дополнительные:
• DES-MAC
• HMAC-ГОСТ Р 34.11-94, -2001

Протокол AH может использоваться в туннельном или
транспортном режимах, а также в комбинации с протоколом ESP
© 2003-2007 S-Terra CSP
13
IPsec. Протокол ESP

Протокол ESP
обеспечивает:
- шифрование данных IP
пакета
- дополнительно
(аналогично протоколу
AH):
• аутентификацию
источника каждого IP
пакета
• целостность данных
IP пакетов
• защиту от повторной
передачи пакетов
© 2003-2007 S-Terra CSP
14
IPsec. Протокол ESP


ESP заголовок увеличивает длину оригинального IP пакета
приблизительно на 24 байта
Протокол ESP поддерживает криптографические алгоритмы шифрования:
-
обязательные:
• DES-CBC (RFC 2405)
• NULL (RFC 2410)
-
дополнительные:
•
•
•
•
•

CAST-128 (RFC 2451)
IDEA (RFC 2451)
3DES (RFC 2451)
AES- 128, 192, 256
ГОСТ (ГОСТ 28147-89)
Протокол ESP поддерживает криптографические алгоритмы
хэширования:
-
обязательные:
• HMAC-MD5-96 (RFC 2403)
• HMAC-SHA-1-96 (RFC 2404)
-
дополнительные:
• DES-MAC
• HMAC-ГОСТ Р 34.11-94 , -2001

Протокол ESP может использоваться в туннельном или транспортном
режимах, а также в комбинации с протоколом AH
© 2003-2007 S-Terra CSP
15
AH и ESP в транспортном режиме
© 2003-2007 S-Terra CSP
16
AH и ESP в туннельном режиме
© 2003-2007 S-Terra CSP
17
Контекст безопасности, IPsec SA

Контекст безопасности IPsec, Security Association, SA –
это структура данных, которая организуется при
помощи протокола IKE для защиты трафика в каждом
из направлений
- контекст безопасности уникальным образом определяется,
как комбинация Security Parameter Index (SPI), IP Destination
address и идентификатор протокола AH/ESP


Контексты безопасности соответствуют режиму
AH/ESP – транспортный или туннельный
В случае, если необходимо создать сложную политику
безопасности, которую невозможно описать при
помощи одного контекста (SA), используется «связка
контекстов» (SA bundle). Связки SA применяются для
двух целей:
- в транспортном режиме – для применения одновременно
протоколов AH и ESP
- в туннельном режиме – для создания вложенных туннелей,
которые могут терминироваться в различных точках сети
© 2003-2007 S-Terra CSP
18
Целостность потока пакетов

Целостность пакетов в потоке
обеспечивается механизмами
IPsec AH или IPsec ESP-auth
- эти же механизмы отсекают
«чужой» или «свой»,
модифицированный
злоумышленником, пакет

КАК ЗАЩИТИТЬСЯ ОТ
ПОВТОРНОЙ ПЕРЕДАЧИ
СВОЕГО ПАКЕТА?
- счетчик пакетов 232 (при
инициализации SA
устанавливается в 0 и
инкрементируется для каждого
последующего пакета)
- поскольку пакеты в IP-сети
могут переупорядочиваться,
дуплицироваться и теряться –
оконное управление потоком
© 2003-2007 S-Terra CSP
19
Основные преимущества IPsec


Прозрачность для любых приложений
Полный контроль входящего/исходящего
трафика
- IPsec драйвер размещен в нижней части драйвера,
реализующего IP протокол


Защита от большинства сетевых атак, включая
DoS
Высокая производительность
- используются симметричные криптографические
алгоритмы

Большое количество сценариев защиты
- сочетание AH и ESP протоколов
- туннельный и транспортный режимы
© 2003-2007 S-Terra CSP
20
IPsec, IKE И СМЕЖНЫЕ ТЕХНОЛОГИИ
Предпосылки и требования
Архитектура IPsec
Протокол IKE
Применения
Литература
Протокол IKE
Cisco Solution Technology Integrator
Протокол IKE



Протоколы IPsec AH и ESP не
самодостаточны в том
смысле, что требуют поставки
ключевого материала и
политики «извне»
Протокол IKE обеспечивает
IPsec необходимыми ключами
и согласованной политикой
Протокол IKE – разработан в
развитие протоколов ISAKMP,
Oakley и SKEME
- полностью защищен
- расширяем (может
применяться для
конфигурирования адресов,
передачи абстрактных данных
- Vendor ID, keep alive и т.п.)
- обеспечивает строгую
взаимную аутентификацию
партнеров
© 2003-2007 S-Terra CSP
22
Функции протокола IKE

Протокол IKE обеспечивает:
- создание ключевого криптографического материала и
взаимную аутентификацию партнеров по взаимодействию при
ключевом обмене
- создание контекстов защищенных взаимно
аутентифицированных соединений (ISAKMP Security
Association, ISAKMP SA) для обмена
ключевой/аутентификационной информацией – первая фаза
протокола IKE
- согласование параметров (политик) защищенных соединений
(IPsec Security Association, IPsec SA) для обмена данными –
вторая фаза протокола IKE
- автоматическую замену криптографических ключей по
задаваемому перечню событий или компрометации
- защиту сеансовых криптографических ключей (Perfect forward
secrecy, PFS)
- строгую взаимную аутентификацию партнеров по
взаимодействию
© 2003-2007 S-Terra CSP
23
Фазы и режимы протокола IKE


Протокол IKE формально разделен на две фазы
Первая фаза может быть реализована в двух разных режимах:
- Main Mode
• более сложен, но при этом более гибок и обеспечивает
анонимность участников (identity protection)

- Aggressive Mode
В рамках первой фазы создается контекст защищенного
соединения ISAKMP SA, все дальнейшие информационные
обмены производятся под его защитой
- однажды созданный на первой фазе контекст ISAKMP SA может
использоваться для нескольких вторых фаз, таким образом, на его
основе может быть создано несколько IPsec SA
© 2003-2007 S-Terra CSP
24
Фазы и режимы протокола IKE




(продолжение)
Вторая фаза реализована в Quick Mode
На второй фазе производится:
- обновление ключевого материала для обеспечения
защищенного обмена данными в рамках IPsec AH и/или ESP
- согласование параметров IPsec SA
- защита сеансовых криптографических ключей (Perfect forward
secrecy, PFS)
Для согласования параметров «собственной» группы DH должна
быть использована New Group Mode, которая должна следовать
сразу за первой фазой, но не является частью Quick Mode
Контекст соединения - ISAKMP SA двунаправленный, т.е. в его
рамках любой из участников взаимодействия может быть
инициатором Quick Mode, New Group Mode и информационных
обменов (Informational Exchanges)
© 2003-2007 S-Terra CSP
25
Структура обменов в IKE



Задача любой фазы (Main, Aggressive и Quick
Modes) – согласовать параметры
взаимодействия, обменяться открытыми
ключами DH и аутентифицировать ключевой
обмен
Согласование параметров производится в
рамках обменов (Exchange)
структурированными (стандартизованными)
сообщениями (Message)
Каждое сообщение формализовано как набор
вложенных структур данных (Payload)
© 2003-2007 S-Terra CSP
26
Первая фаза протокола IKE, Main Mode

Согласование параметров ISAKMP
SA - сообщения 1, 2:
-



Обмен открытыми ключами DH и
служебными данными (Nonces) –
сообщения 3, 4
Расчет ключевого материала для
процедур шифрования и
аутентификации в рамках ISAKMP SA
Взаимная аутентификация –
сообщения 5, 6
-

© 2003-2007 S-Terra CSP
метод аутентификации
время жизни ISAKMP SA
группа DH
алгоритм хэширования
алгоритм шифрования
в Main Mode аутентификационная
информация передается в
зашифрованном виде
Дальнейшие информационные
обмены производятся под защитой
созданного контекста (SA)
27
Первая фаза IKE, Aggressive Mode


Выбор между
безопасностью и
производительностью
Как и в Main Mode партнеры
должны согласовать:
-


метод аутентификации
время жизни ISAKMP SA
группу DH
алгоритм хэширования
алгоритм шифрования
Произвести обмен
открытыми ключами DH и
служебными данными и
расчет ключевого материала
Провести взаимную
аутентификацию
- аутентификационная
информация передается в
открытом виде
© 2003-2007 S-Terra CSP
28
Методы аутентификации

В рамках протокола IKE стандартизованы
четыре метода аутентификации:
- на предопределенных ключах - with a Pre-Shared
Key
- на электронной цифровой подписи - with Signature
- шифрование на открытых ключах
• with Public Key Encryption
• with a Revised Mode of Public Key Encryption
- наиболее широко используемые методы – на
предопределенных ключах и ЭЦП
© 2003-2007 S-Terra CSP
29
Вторая фаза протокола IKE, Quick Mode

Вторая фаза
протокола IKE
реализуется в Quick
Mode
- согласование
параметров IPsec SA
- обновление
ключевого материала
для обеспечения
защищенного обмена
данными в рамках
IPsec AH и/или ESP
- защита сеансовых
криптографических
ключей (Perfect
forward secrecy, PFS)
© 2003-2007 S-Terra CSP
30
IPsec, IKE И СМЕЖНЫЕ ТЕХНОЛОГИИ
Предпосылки и требования
Архитектура IPsec
Протокол IKE
Применения
Литература
Применения
Cisco Solution Technology Integrator
Роль и место IKE/IPsec

Что мне лучше использовать – защиту
сетевого, транспортного и прикладного
уровня?
- И то, и другое, и третье, но в разных сценариях
- Защита сетевого уровня нужна там, где требуется
создать изолированную доверенную среду
предприятия, единую для всех приложений
- Защита транспортного уровня пригодится там, где у
Вас нет возможности установить для всех
пользователей VPN-клиента, например, в задачах
защиты доступа граждан к порталу госорганов или
в задачах электронной коммерции
- Защита прикладного уровня незаменима при работе
с электронными документами
© 2003-2007 S-Terra CSP
32
L3 или L4 VPN?

Равнозначны (равнозащищены) ли технологии VPN
сетевого (IPsec) и транспортного (SSL, TLS) уровней?
- С точки зрения стойкости криптографий – да
- С точки зрения дизайна криптографических протоколов
предпочтение экспертов принадлежит IKE/IPsec (The Burton
group)
- По целям дизайна протоколы 4го уровня рассчитаны на
защиту отдельного приложения (защита транспортного
соединения порт-порт в системе клиент-сервер). Другие порты
на том же сервере могут быть открыты (и атакованы). VPN
сетевого уровня может защитить сетевую инфраструктуру или
сервер в целом
• Однако в последнее время появились и приобретают
популярность «шлюзовые» L4 VPN-продукты, которые «умеют»
инкапсулировать IP-трафик в SSL/TLS. Такие продукты
функционально практически эквивалентны L3 VPN с двумя
отличиями: (1) функциональность протокола управления
ключами в SSL/TLS много уступает IKE и (2) поскольку это –
«нетрадиционное» использование протокола на сегодня
«шлюзовые» продукты L4 VPN от разных производителей плохо
совместимы между собой
© 2003-2007 S-Terra CSP
33
IPsec в «реальной сети»

Как работает IPsec AH при наличии NAT? (Целостность заголовка
противоречит трансляции адресов)
- В хороших реализациях IKE/IPsec – без проблем. IKE автоматически
детектирует NAT на пути туннеля и включает режим «NAT traversal
IPsec»

Как обстоят дела с фрагментацией?
- Корректный VPN-продукт умеет фрагментировать/
дефрагментировать шифрованный трафик. Однако при этом
производительность шифрования падает. Рекомендуется настройка
MTU «с запасом» на заголовки IPsec

Насколько повышают общую защищенность системы контроля
целостности ESP-auth и AH?
- Полезная функция, однако может приводить к «узкому горлу» в
производительности. Поэтому ряд наших заказчиков устраивает
политика безопасности, когда для защиты трафика используется
IPsec ESP, а целостность потока данных «обеспечивает» TCP
- Также интересным является решение, когда целостность
обеспечивается на «внешних» маршрутизаторах на базе IPsec
AH/MD5, а конфиденциальность – во внутреннем периметре на базе
IPsec ESP/ГОСТ
© 2003-2007 S-Terra CSP
34
Какова избыточность протоколов IPsec?

Зависит от политики безопасности и криптографии. Расчет
Кирилла Корнилова (для IPv4):
- Протокол AH:
• 12 байт + длина digest, все это округляется кратного 4 в большую сторону,
если туннель - еще +20 байт
• длина digest:
• HMAC 96 (SHA1, MD5, ГОСТ) - 12 байт (полное увеличение пакета – 24..44)
• KPDK (MD5) - 16 байт (полное увеличение пакета – 28..48)
-
Протокол ESP:
•
•
•
•
•
•
•
8 байт + длина IV + длина digest + 2 байта, длина шифрованных данных
дополняется до блока алгоритма
если туннель - еще +20 байт
если NAT traversal - еще +8 байт
если нет integrity - длина digest = 0
если нет шифрования - длина блока = 1, длина IV = 0
Длина IV, длина блока:
• DES, 3DES, ГОСТ - 8 байт
• AES - 16 байт
• Например, ESP/ГОСТ без integrity, туннельный режим, без NAT traversal
увеличивает пакет на 38..45 байт
© 2003-2007 S-Terra CSP
35
Еще пара вопросов

Нужен ли IPcomp?
- по нашему опыту статистическая база пакета не
дает возможности обеспечить его существенное
сжатие
- Cisco не рекомендует IPcomp по причинам
снижения производительности (при малой
эффективности сжатия) и плохой совместимости
ПО

Совместимы ли VPN-продукты различных
производителей?
- В базовых протоколах IKE/IPsec – да. Однако из-за
несовместимости дополнительных спецификаций и
различной инфраструктуры/логики управления
целесообразно минимизировать количество
используемых VPN-продуктов
© 2003-2007 S-Terra CSP
36
IPsec, IKE И СМЕЖНЫЕ ТЕХНОЛОГИИ
Предпосылки и требования
Архитектура IPsec
Протокол IKE
Применения
Литература
Литература
Cisco Solution Technology Integrator
Источники разработки
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
RFC 2401, Security Architecture for the Internet Protocol. S. Kent, R. Atkinson. November
1998
RFC 2402, IP Authentication Header. S. Kent, R. Atkinson. November 1998
RFC 2403, The Use of HMAC-MD5-96 within ESP and AH. C. Madson, R. Glenn.
November
1998
RFC 2404, The Use of HMAC-SHA-1-96 within ESP and AH. C. Madson, R. Glenn.
November 1998
RFC 2405, The ESP DES-CBC Cipher Algorithm With Explicit IV. C. Madson, N.
Doraswamy.
November 1998
RFC 2406, IP Encapsulating Security Payload (ESP). S. Kent, R. Atkinson.
November 1998
RFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP. D. Piper. November
1998
RFC 2408, Internet Security Association and Key Management Protocol (ISAKMP). D.
Maughan, M. Schertler, M. Schneider, J. Turner. November 1998
RFC 2409, The Internet Key Exchange (IKE). D. Harkins, D. Carrel. November
1998
RFC 2410 The NULL Encryption Algorithm and Its Use With IPsec. R. Glenn, S. Kent.
November 1998
RFC 2411, IP Security Document Roadmap. R. Thayer, N. Doraswamy, R. Glenn. November
1998
RFC 2412, The OAKLEY Key Determination Protocol. H. Orman. November 1998
Московиц Р. Протокол IPSec для групп по интересам // Network Computing. - 2000. - №11.
Busby M. Demystifying Virtual Private Networks. Wordware Publishing, Inc. 2001. 249 p.
A Comprehensive Guide to Virtual Private Networks, Volume II: IBM Nways Router Solutions.
IBM. International Technical Support Organization SG24-5234-01. November 1999. 642 p.
Davies C.R. IPSec: Securing VPNs. Osborne/McGraw-Hill, 2001. - 404 p.
Using IPSec to Construct Secure Virtual Private Networks. International Business Machines
Corporation. 1998. 61 p.
© 2003-2007 S-Terra CSP
38
КОНТАКТЫ
e-mail: [email protected]
web: http://www.s-terra.com/
Тел.:
+7 (495) 531 9789
+7 (495) 726 9891
Факс: +7 (495) 531 9789
Вопросы?
Обращайтесь к нам!
Cisco Solution Technology Integrator
Скачать