IPSec

ds

BSK  2013

KZI, D. Strz

ę

ciwilk

IPsec

Jednym z najlepiej zaprojektowanych protokółów w 
informatyce jest 

protokół IP 

U

ż

ywany nieprzerwanie od ponad 20 lat w 

ś

rodowisku 

komputerowym, które niesłychanie 

szybko si

ę

 zmienia

SGGW

IP został zaprojektowany w celu 

przetrwania ataku 

nuklearnego

, ale nie zapewnia podstawowych 

wymaga

ń

 jak 

bezpiecze

ń

stwo i poufno

ść

 

przesyłanych 

danych

IPsec

Prace nad

IPsec

rozpocz

ę

ła IETF w 1992 roku

IPSec jest zbiorem technologii, protokołów i algorytmów 
kryptograficznych zapewniaj

ą

cych 

poufno

ść

transmitowanych danych, 

uwierzytelnienie

pochodzenia danych oraz zabezpieczaj

ą

cych przed 

SGGW

pochodzenia danych oraz zabezpieczaj

ą

cych przed 

atakami typu 

reply-attack

Konfiguracja IPSec

IPSec

- Standard IPSec został opracowany z my

ś

l

ą

 o 

potrzebie zapewnienia 

bezpiecze

ń

stwa transmisji 

danych przez sieci publiczne (

Internet

) z zachowaniem 

wszystkich tych kryteriów 

poufno

ś

ci i 

nienaruszalno

ś

ci 

jakie charakteryzuj

ą

 przesyłanie 

SGGW

nienaruszalno

ś

ci 

jakie charakteryzuj

ą

 przesyłanie 

danych przez sieci prywatne

IPSec dostarcza mechanizmów 

szyfrowania, 

uwierzytelniania 

i 

kontroli integralno

ś

ci 

danych

Warunki 

Komunikuj

ą

ce si

ę

 z sob

ą

 hosty, routery, firewalle 

musz

ą

 zosta

ć

 poprawnie 

uwierzytelnione

w oparciu o 

silne mechanizmy uwierzytelniaj

ą

ce (

autentykuj

ą

ce

) 

Dane transmitowane 

pomi

ę

dzy urz

ą

dzeniami powinny 

by

ć

 zabezpieczone w celu zapewnienia 

ich pełnej 

SGGW

by

ć

 zabezpieczone w celu zapewnienia 

ich pełnej 

poufno

ś

ci

, dla udaremnienia ich nieuprawnionego 

wykorzystania po ich przechwyceniu i zarejestrowaniu 
przez niepowołane osoby czy organizacje

Warunki 

Nale

ż

y zabezpieczy

ć

 integralno

ść

 danych przez 

zastosowanie 

ś

rodków zapobiegaj

ą

cych 

przekłamaniu

danych

na trasie ich przesyłania

Nale

ż

y uniemo

ż

liwi

ć

 

ataki typu reply attack

, w których 

atakuj

ą

cy rejestruje na przykład transakcje pobrania z 

SGGW

atakuj

ą

cy rejestruje na przykład transakcje pobrania z 

konta bankowego kwoty 1 miliona $ a nast

ę

pnie 

powtarza t

ę

 sam

ą

 transakcj

ę

, dokonuj

ą

c zubo

ż

enia 

konta zaatakowanego o kolejny milion $. 

IPSec

IPSec funkcjonuje w warstwie 

trzeciej stosu 

protokołów TCP/IP

W celu utworzenia 

poł

ą

czenia VPN 

pomi

ę

dzy zdalnymi 

lokalizacjami nale

ż

y na routerach czy serwerach 

dost

ę

powych tych lokalizacji uruchomi

ć

 

mechanizmy 

SGGW

dost

ę

powych tych lokalizacji uruchomi

ć

 

mechanizmy 

IPSec

Pozostałe routery na trasie przesyłania pakietów

nie 

uczestnicz

ą

 

w tych mechanizmach

VPN

Wirtualne sieci prywatne 

– Poł

ą

czenia zabezpieczone 

mechanizmami IPSec-a maj

ą

 charakter wirtualnych 

sieci prywatnych 

VPN 

– (Virtual Private Network) rozumiane jako usługa 

bezpiecznej transmisji danych przez infrastruktur

ę

 sieci 

SGGW

bezpiecznej transmisji danych przez infrastruktur

ę

 sieci 

publicznej

Terminologia IPSec

RFC 2401

Standard IPSec opisuje dwa typy protokołów 
bezpiecze

ń

stwa:

Authentication Header (AH) 

SGGW

Authentication Header (AH) 

Encapsulation Security Payload (ESP)

IPSec

Ipsec - zestaw protokołów opracowany przez IETF

SGGW

Terminologia IPSec

Authentication Header (AH) 

Encapsulation Security Payload (ESP) 

SGGW

Terminologia IPSec

Problem dystrybucji kluczy prywatnych 

–

Poufno

ść

 danych szyfrowanych algorytmami klucza 

prywatnego zale

ż

y w decyduj

ą

cym stopniu od 

bezpiecze

ń

stwa samego klucza enkrypcji

SGGW

Terminologia IPSec

Integralno

ść

 danych 

- Integralno

ść

 danych 

transmitowanych elektronicznie oznacza gwarancj

ę

 ich 

nienaruszalno

ś

ci. 

SGGW

Terminologia IPSec

Ochrona anti-reply

Ataki typu reply-attack polegaj

ą

 na zarejestrowaniu 

wykowywanej przez hackera transakcji 
przeprowadzonej przez autoryzowanego u

ż

ytkownika, 

a nast

ę

pnie jej odtworzenie

SGGW

a nast

ę

pnie jej odtworzenie

Zabezpieczenie -

numeracja sekwencji danych w 

strumieniu transmitowanym przez SA 

Definicje

Encryption

– zapewnia poufno

ść

 danych

Authentication

– zapewnia integralno

ść

 danych

Internet Security Association and Key Management 
Protocol (ISAKMP) 

– Framework który definiuje 

SGGW

Protocol (ISAKMP) 

– Framework który definiuje 

mechanizmy implementacji protokołu 

wymiany 

kluczy oraz negocjacji skojarzenia

IPSec

Poufno

ść

SGGW

IPSec

Integralno

ść

SGGW

IPSec

Authentication

SGGW

Wymiana kluczy

Bezpieczna wymiana kluczy

SGGW

IPSec

Authentication Header 

SGGW

Terminologia IPSec

Transform set 

zawiera nast

ę

puj

ą

ce informacje

Typ protokołu bezpiecze

ń

stwa IPSec: 

AH 

(Authentication Header), 

ESP

(Encapsulation

Security Payload) lub 

oba jednocze

ś

nie

SGGW

Security Payload) lub 

oba jednocze

ś

nie

Algorytm kontroli integralno

ś

ci i uwierzytelnienia 

danych: 

MD5 

(Message Digest 5) lub 

SHA-1

(Security 

Hashing Algorithm), 

Algorytm enkrypcji: 

DES, 3DES, AES, IDEA, Blowfish

lub null (brak enkrypcji). 

Terminologia IPSec

Logiczne poł

ą

czenie 

pomi

ę

dzy dwoma 

równorz

ę

dnymi urz

ą

dzeniami IPSec nazywane jest 

Security Association (SA)

SA identyfikowane jest przez IPSec

parametrami

SGGW

Identyfikator

urz

ą

dzenia równorz

ę

dnego (nazwa hosta 

lub adres IP) 

wykorzystywany 

Transform set, 

czas wa

ż

no

ś

ci 

wykorzystywanego przez funkcje 

haszuj

ą

ce i algorytmy symetrycznej enkrypcji klucza 

prywatnego, 

Terminologia IPSec

Opis ruchu podlegaj

ą

cego enkrypcji, maj

ą

cy posta

ć

 

tzw. 

crypto ACL 

(list dost

ę

pu - filtrów dla enkrypcji), 

identyfikator S.A. 

- tzw. SPI (Security Parameter

Index), 

SGGW

liczniki i progowe warto

ś

ci czasu dla pomiaru czasu 

wa

ż

no

ś

ci SA zestawionych dynamicznie w oparciu o 

mechanizmy IKE 

(Internet Key Exchange), 

Numer sekwencji 

danych w zabezpieczonym 

strumieniu, dla zapobiegania atakom typu 

reply-attack

Terminologia IPSec

IPSec okre

ś

la dwa typy SA:

SA dla trybu 

transportowego

SA dla trybu 

tunelowego

SGGW

Terminologia IPSec

SA dla trybu 

tunelowego

SGGW

ESP

IPSec

SGGW

Terminologia IPSec

SA dla trybu 

transportowego

SGGW

Site-to-Site VPN Tunel

Konfiguracja 

Stworzenie 

reguł dla protokołu IKE

Ustawiamy parametry

1. Sposób uwierzytelniania (

PSK, RSA, X.509

)

SGGW

1. Sposób uwierzytelniania (

PSK, RSA, X.509

)

2. Wybór algorytmu szyfrowania (

DES, 3DES, AES

)

3. Wybór u

ż

ywanych funkcji skrótu (

MD5, SHA

)

4. Grupa 

DH

(wielko

ść

 liczb u

ż

ywanych podczas 

oblicze

ń

)

5. Czas trwania 

skojarzenia SA 

Reguły IKE

!
crypto isakmp policy 1

encr aes 256
authentication pre-share
group 2
lifetime 3600

SGGW

lifetime 3600

Algorytmy

SGGW

Algorytmy

Whitfield Diffie, Martin Hellman - 1976

SGGW

Integrity

Integralno

ść

,

Autentyczno

ść

(uwierzytelnienie), 

Poufno

ść

SGGW

SHA-2

SHA-224

(224 bit)

SHA-256

(256 bit)

SHA-384

(384 bit)

SHA-512

(512 bit)

SGGW

SHA-512

(512 bit)

Cisco u

ż

ywa HMAC 

MD5 (HMAC-MD5)

SHA-1 (HMAC-SHA-1)

Transform-Set

Konfiguracja parametrów zwi

ą

zanych z poł

ą

czeniem 

IPSec

Ustawiamy parametry dla

Crypto ipsec transfom-set

SGGW

Crypto ipsec transfom-set

1. Rodzaj protokołu 

IPSec

(

ESP

, 

AH

, 

oba

jednocze

ś

nie)

2. Protokół szyfrowania (dla 

ESP

) np. 

AES

, 

3DES

3. Funkcja skrótu (intergralno

ść

) 

SHA

, 

MD5

Reguły IKE

!
crypto ipsec transform-set VPN_TRANS esp-aes 256 esp-sha-hmac

SGGW

Klucz uwierzytelniaj

ą

cy

Uwierzytelnianie współdzielonym kluczem (

pre-shared-

key

)

Ustawiamy parametry 

1.

Ustalony 

klucz

SGGW

1.

Ustalony 

klucz

2.

Adres 

IP peera

Klucz

!
crypto isakmp key secretkey#1$2%3 address 10.10.10.2

SGGW

Klucze symetryczne

Klucze symetryczne

SGGW

Klucze asymetryczne

Klucze asymetryczne

SGGW

Klucz

Key management 

– jeden z najbardziej  trudnych 

kroków systemu

SGGW

Klucz

Key management 

– jeden z najbardziej  trudnych 

kroków systemu

SGGW

Klucz

Typy kluczy

Symmetric keys

, - stosowane do wymiany pomi

ę

dzy 

routerami z sieciami VPN

Asymmetric keys -

stosowane w aplikacjach secure

SGGW

Asymmetric keys -

stosowane w aplikacjach secure

HTTPS 

Digital signatures -

stosowane w aplikacjach 

webowych

Hash keys -

stosowane w symetrycznych i 

asymetrycznych poł

ą

czeniach, podpisy cyfrowe

Utworzenie crypto-mapy

Crypto-map

Wi

ąż

e wszystkie parametry tunelu w cało

ść

 

(

transform-set, parametry IPSec, ACL

)

Dodajemy

ACL 

z informacj

ą

, która okre

ś

li jaki ruch 

SGGW

Dodajemy

ACL 

z informacj

ą

, która okre

ś

li jaki ruch 

zostanie przesłany 

tunelem VPN

Mo

ż

e zawiera

ć

 kilka tuneli poniewa

ż

 do interfejsu 

mo

ż

na doda

ć

 tylko 

jedn

ą

 crypto-map

ę

Crypto-map

Ustawienie parametrów 

Crypto-map

1.

Adres 

IP peera

2.

Dodajemy 

Transform-Set

3.

Dodajemy 

PFS

SGGW

3.

Dodajemy 

PFS

4.

Dodajemy 

nr ACL

5.

Dodajemy

crypto-mape

do interfejscu!

Crypto-map

!
!crypto map VPN_MAPA 10 ipsec-isakmp

set peer 10.10.10.2
set transform-set VPN_TRANS
set pfs group2
match address 100

SGGW

match address 100

!

access-list 100 permit ip 192.198.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Show

Show crypto isakmp sa

QM_IDLE

– oznacza, ze mo

ż

na przej

ść

 do fazy 2

Show crypto ipsec sa

Czy nawi

ą

zano zwi

ą

zki IPSec SA

SGGW

Show crypto isakmp key

Sprawdza klucz

Show crypto ipsec transform-set

Do porównania routerów 

Show crypto map

Clear crypto sa peer|map|spi

Show

Show crypto

SGGW

Zastosowania

Przykład

SGGW

QA

ds

BSK 2013

KZI, Dariusz Strz

ę

ciwilk