Version 0

Vortrag: IPSEC How to use VPN with Enterprise Hardware

Event_large

In dem Vortrag werden Grundlagen von IPSEC erklaert

Geschichte

Standards
rfc2401 Security Architecture for the Internet Protocol (November 1998)
rfc2402 IP Authentication Header (November 1998)
rfc2403 The Use of HMAC-MD5-96 within ESP and AH (November 1998 )
rfc2405 The Use of HMAC-SHA-1-96 within ESP and AH (November 1998 )
rfc2406 IP Encapsulating Security Payload (ESP) (November 1998 )
rfc2408 Internet Security Association and Key Management Protocol (ISAKMP) (November 1998 )
rfc2409 The Internet Key Exchange (IKE) (November 1998 )
rfc2412 The OAKLEY Key Determination Protocol (November 1998 )
Funktionen
Encryption of user data for privacy.
Authentication of the integrity of a message to ensure that it is not changed en route.
Protection against certain types of security attacks, such as replay attacks.
The ability for devices to negotiate the security algorithms and keys required to meet their security needs.
Two security modes, tunnel and transport, to meet different network needs.

Übliche Umsetzung

Site-to-Site
192.168.1.0/24 172.16.0.0/16
192.168.1.0/24 0.0.0.0/0
192.168.1.0/24 31.172.42.0/24
Site-to-Client
0.0.0.0/0 192.168.1.23/32
172.16.0.0/12 192.168.1.42/32
31.172.42.0/24 192.168.1.42/32
Server-to-Client
172.16.23.42/32 192.168.1.54/32
31.172.42.85/32 192.168.1.54/32
Server-to-Server
172.16.23.42/32 10.42.23.54/32
31.172.42.85/32 195.160.168.28/32

Modes

Tunnel

Im Tunnelmodus wird das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das gesamte Paket angewandt. Der neue (äußere) IP-Header dient dazu, die Tunnelenden (also die kryptografischen Endpunkte) zu adressieren, während die Adressen der eigentlichen Kommunikationsendpunkte im inneren IP-Header stehen. Der ursprüngliche (innere) IP-Header stellt für Router usw. auf dem Weg zwischen den Tunnelenden nur Nutzlast (Payload) dar und wird erst wieder verwendet, wenn das empfangende Security-Gateway (das Tunnelende auf der Empfangsseite) die IP-Kapselung entfernt hat und das Paket dem eigentlichen Empfänger zustellt.

Im Tunnelmodus sind Gateway-zu-Gateway- oder auch Peer-zu-Gateway-Verbindungen möglich. Da an jeweils einer Seite Tunnelende und Kommunikationsendpunkt auf demselben Rechner zusammenfallen können, sind auch im Tunnelmodus Peer-zu-Peer-Verbindungen möglich. Ein Vorteil des Tunnelmodus ist, dass bei der Gateway-zu-Gateway-Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung.
Gliffy
Transport
Im Transportmodus wird der IPsec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert und dient weiterhin zum Routing des Pakets vom Sender zum Empfänger. Der Transportmodus wird verwendet, wenn die „kryptographischen Endpunkte“ auch die „Kommunikations-Endpunkte“ sind. Nach dem Empfang des IPsec-Paketes werden die ursprünglichen Nutzdaten (TCP/UDP-Pakete) ausgepackt und an die höherliegende Schicht weitergegeben. Der Transportmodus wird vor allem für Host-zu-Host- oder Host-zu-Router-Verbindungen verwendet, z.B. für die Netzwerkverwaltung.
ESP
Encapsulating Security Payload (ESP) stellt Mechanismen zur Sicherstellung der Authentizität, Integrität und Vertraulichkeit der übertragenen IP-Pakete bereit. Im Unterschied zum AH wird der Kopf des IP-Paketes vom ICV (Integrity check value) nicht berücksichtigt, jedoch werden die Nutzdaten verschlüsselt übertragen. ESP basiert direkt auf IP und verwendet die IP-Protokoll Nummer 50.
AH
Der Authentication Header (AH) soll die Authentizität und Integrität der übertragenen Pakete sicherstellen und den Sender authentisieren. Weiterhin schützt er gegen Replay-Angriffe. AH schützt die invarianten Teile eines IP-Datagramms; IP-Header-Felder, die auf dem Weg durch ein IP-Netz von Routern verändert werden können (z. B. TTL), werden nicht berücksichtigt. Werden auf dem Weg durch das Netz Router mit aktivierter Network Address Translation (NAT) passiert, so ändern diese die eigentlich invarianten Teile eines IP-Datagramms ab, folglich ist eine Authentisierung nicht mehr möglich - NAT und AH sind folglich designbedingt inkompatibel - lediglich eine Kombination von NAT und ESP (siehe RFC 3948 – UDP Encapsulation of IPsec ESP Packets) ist möglich. Die Nutzdaten werden bei AH nicht verschlüsselt und sind damit für jeden lesbar. AH basiert direkt auf IP und verwendet die IP-Protokoll Nummer 51.

Umsetzung

Policy-Based
Kompatibel zu fast allen Geräten, genaue Beschreibung wer mit wem reden darf
Src-IP,Dst-IP,Dst-Port
192.168.1.25, 172.16.25.42, 3306
Route-based
Es gibt ein interface auf das geroutet wird, erlaubt ist alles im Tunnnel und kann durch uebliche Instrumente wie Firewalls/Access-Listen eingeschraenkt werden
0.0.0.0/0, 0.0.0.0/0, Any

Crypto

des
3des
aes128
aes256

Config exampels
IPSEC (linux, juniper, netgear, fritzbox)
IPSEC+GRE

Info

Tag: 06.09.2013
Anfang: 19:23 Uhr
Dauer: 00:50
Room: Gate 111
Track: Web und IT-Security
Sprache: de

Links:

Feedback

Uns interessiert deine Meinung! Wie fandest du diese Veranstaltung?

Concurrent events

Gate 104
Slide To Unlock -- or Provide Your Facebook Pictures?
Gate 105 (Workshop Airlines)
Nähmaschine (Einführung)