1
Pakietowe urządzenia
utajniającego
IP-Krypto
2
PRZEZNACZENIE IP-KRYPTO
IP-KRYPTO przeznaczone jest do zapewnienia
kryptograficznej ochrony informacji o klauzuli do
TAJNE włącznie przesyłanych między zamkniętymi,
lokalnymi sieciami komputerowych LAN poprzez
otwarte sieci IP.
Bezpieczeństwo ruchu w sieci IP (border to border
encryption)
3
4
Funkcje IP-KRYPTO (1)
utajnianie i odtajnianie pakietów IP na granicy sieci
zamkniętej
i otwartej, przez szyfrowanie blokowe, umożliwiając
bezpieczne
nadawanie i odbiór utajnionych pakietów IP
poprzez sieć otwartą,
wykorzystując niechroniony,
standardowy styk ETHERNET
10/100BaseT.
ochrona informacji do klauzuli TAJNE włącznie
możliwość tworzenia bezpiecznych kanałów z innymi
urządzeniami
tego typu (co najmniej kilkadziesiąt
jednoczesnych relacji)
możliwość realizacji sieci z obsługą co najmniej kilkaset
urządzeń;
5
Funkcje IP-KRYPTO (2)
utajnianie pakietów IP oraz opatrywanie je własnymi
nagłówkami ze zmienionymi adresami;
ochrona szyfrowanych informacji poprzez „sekret klucza”
oraz innych danych kryptograficznych
realizacja protokółu wymiany danych oraz uzgodnienia
kluczy sesyjnych;
ochrona przetwarzanych informacji uniemożliwiając
elektromagnetyczne przenikanie na zewnątrz obudowy
sygnałów niosących informacje wrażliwe (niejawne)
6
Występując
z
wnioskiem
o
wydanie
certyfikatu,
Występując
z
wnioskiem
o
wydanie
certyfikatu,
wnioskodawca zgodnie z kryteriami ITSEC musi określić:
wnioskodawca zgodnie z kryteriami ITSEC musi określić:
wnioskowany poziom poprawności,
wnioskowany poziom poprawności,
wnioskowaną klasę funkcjonalności,
wnioskowaną klasę funkcjonalności,
wnioskowaną siłę mechanizmów zabezpieczeń.
wnioskowaną siłę mechanizmów zabezpieczeń.
Urządzenie IP-KRYPTO
Urządzenie IP-KRYPTO
klauzula
poziom
poprawności
klasa
funkcjonalności
siła mechanizmów
zabezpieczeń
TAJNE
E-3
F-DX
wysoka
Wnioskowany poziom oceny IP-KRYPTO
Wnioskowany poziom oceny IP-KRYPTO
7
Ethernet
UŻYTKOWNICY
SIECI ZAMKNIĘTEJ
IP-KRYPTO
ROUTER
Ethernet
UŻYTKOWNICY
SIECI ZAMKNIĘTEJ
IP-KRYPTO
ROUTER
Ethernet
UŻYTKOWNICY
SIECI ZAMKNIĘTEJ
IP-KRYPTO
ROUTER
SIEĆ
OTWARTA
Stacja Generacji
i Dystrybucji
Danych Kryptograficznych
KURIERSKA
DYSTRYBUCJ A
DANYCH
KRYPTOGRAFICZNYCH
IP-KRYPTO
INTERFEJ SY ZEWNĘTRZNE
STANDARD 10/100Base-T
"RED"
"BLACK"
R
B
R
B
B
R
8
Szyfrator Optimus S.A. – ABA IPSec Gate
Firmy Optimus oraz ABA Kraków opracowały szyfrator
Optimus ABA IPSec Gate oraz stanowisko generacji
kluczy.
Szyfrator Optimus ABA IPSec Gate otrzymał certyfikat
JC DBTI ABW do ochrony informacji niejawnych o
klauzuli ZASTRZEŻONE.
Szyfrator ten jest wykorzystywany do ochrony sieci IP
w wielu instytucjach, m.in. w Straży Granicznej
9
Platforma sprzętow
Platforma sprzętow
a
a
Optimus ABA IPSec
Optimus ABA IPSec
Gate
Gate
WIŁ
WOJSKOWY INSTYTUT
ŁĄCZNOŚCI
INTEL Pentium Celeron 2,0 GHz
Pamięć RAM 128 MB
Pamięć FLASH 8MB
Do 4 interfejsów Fast Etherent
10/100BaseT
Do 2 interfejsy RS232
Obsługa połączeń modemowych
Konsola systemowa - RS232
Sprzętowy
generator
liczb
losowych (INTEL)
Zewnętrzna pamięć FLASH USB
10
Szyfrator CompCrypt ETA-VPN (1)
Szyfrator ETA-VPN realizuje funkcje integralności i ochrony
poufności przesyłanych danych w sieciach IP.
Uwierzytelnienie systemu zostało oparte o rozwiązanie
infrastruktury klucza publicznego (PKI).
Szyfrator został zaprojektowany w taki sposób, aby spełnić
wymagania ABW dla urządzeń przetwarzających i
przesyłających informacje o klauzuli „zastrzeżone” i
„poufne”
11
Szyfrator CompCrypt ETA-VPN (2)
•Szybkie szyfrowanie transmisji danych (100 Mb/s).
•Zawiązywanie do 3000 tuneli.
•Algorytmy: DES, 3DES, AES 128, 192, 256, algorytm
narodowy.
•Algorytm RSA do uwierzytelnienia urządzeń w protokole
IPSec.
•Wbudowana funkcjonalność firewalla.
•Routing statyczny.
•Wykorzystanie fizycznego źródła ciągów losowych.
•Przechowywanie
kluczy
głównych
urządzenia
z
wykorzystaniem metody podziału sekretu.
•Temperatura pracy: +5 do +50°C.
Producent: Comp S.A.
12
Szyfrator Thales TCE 621 IP Crypto Device
TCE 621 zabezpiecza komunikację pomiędzy dwoma
hostami albo pomiędzy siecią przedsiębiorstwa a
siecią IP poprzez usługi kryptografii border to border
dodane do protokołu IP.
Wszystkie usługi bezpieczeństwa zapewniane są
poprzez protokół IPSec ESP (Encapsulation Security
Payload).
Przedni
panel
używany
jest
do
początkowej
konfiguracji oraz manualnej obsługi urządzenia.
Crypto
Ignition
Key
(CIK)
jest
używany
do
przechowywania
kluczy
inicjujących.
Z
chwilą
odłączenie CIK urządzenie zostaje rozbrojone.
13
Thales TCE 621 IP Crypto Device (Norway)
• algorytm akceptowany przez NATO
• transfer 10 Mbit/s
• do 1000 szyfrowanych kanałów
• AMSG 720 B
• temperatury: pracy (0/+55
0
C), przechowywania (-
30/+70
0
C)
14
Sectera In-Line Network Encryptor (USA)
Based
on
the
Internet
security
and
key
management protocols IP Security/Internet Key
Exchange (IPSec/IKE), the Sectéra INE meets the
new U.S. Government standards for security and
network operations. The architecture is software
upgradeable to be fully compliant with the future
High Assurance IP Interface Specification (HAIPIS).
The Sectéra INE is fully
software reprogrammable
over the network.
15
IPSec a IP
IPSec a IP
Protokół IPSec stanowi uzupełnienie funkcjonalności
protokołu IP o ochronę danych.
Głównym zadaniem protokołu IPSec jest szyfrowanie
i uwierzytelnianie całego ruchu na poziomie
warstwy IP, niezależnie od protokołów stosowanych
w wyższych warstwach sieci o architekturze TCP/IP.
IPSec pracuje w dwóch trybach:
• transportowym,
• tunelowym.
16
Tryb transportowy
WIŁ
WOJSKOWY INSTYTUT
ŁĄCZNOŚCI
W
trybie
transportowym
zabezpieczeniu
podlega
segment
danych
pakietu
IP,
natomiast
nagłówek
IP
pozostaje
nie
zmieniony. Pomiędzy segment danych i
nagłówek IP dodatkowo wstawiany jest
nagłówek IPSec.
17
Tryb tunelowy
Tryb tunelowy
WIŁ
WOJSKOWY INSTYTUT
ŁĄCZNOŚCI
W trybie tunelowym zabezpieczeniu podlega cały
pierwotny pakiet IP, stając się segmentem danych
nowego pakietu IP wyposażanego w nowy
nagłówek IP oraz znajdujący się pomiędzy nim i
segmentem danych nagłówek IPSec. Tym
sposobem także nagłówek, a nie tylko segment
danych podlega ochronie IPSec.
18
Platforma sprzętowa
Platforma sprzętowa
IP-Krypto WIŁ
IP-Krypto WIŁ
Płyta główna Iwill G478
· Procesor Pentium IV 1,6 GHz lub
wyższy
Pamięć RAM 128 MB
Pamięć FLASH 32MB
6
interfejsów
Fast
Etherent
100/10BaseT
2 interfejsy RS232
Sprzętowy
generator
liczb
losowych (INTEL)
Moduł
kryptograficzny
8
MB
(IBDK)
19
WIŁ
WOJSKOWY INSTYTUT
ŁĄCZNOŚCI
Platforma sprzętowa
Platforma sprzętowa
IP-Krypto WIŁ
IP-Krypto WIŁ
20
Oprogramowanie
Oprogramowanie
IP-KRYPTO
Szyfrator IP pracujący w technologii IPSec.
Wykorzystana technologia - Encapsulation Security
Payload
Nagłówki uwierzytelniające
Protokół ISAKMP
Praca w trybie tunelowym lub transportowym.
Uwierzytelnienie stron
Podstawą systemu IP-KRYPTO jest jądro systemu LINUX
oraz implementacja IPSec o nazwie FreeS/WAN.
Podstawowe cechy:
21
Oprogramowanie
Oprogramowanie
IP-KRYPTO
• Protokół wymiany kluczy,
• Możliwość ustawienia czasu ważności klucza sesji i
automatyczny rekeying,
• Algorytmy szyfrowania sesji
• Dystrybucja danych konfiguracyjnych oraz kluczy
publicznych
za
pomocą
pamięci
FLASH
USB
zabezpieczonej kodem dostępu,
•
Ilość
równocześnie
zestawianych
połączeń
-
ograniczona jedynie wydajnością sprzętu,
•Podstawowe funkcje rutowania pakietów IP.
22
Kryptografia w urządzeniu IP-KRYPTO
Kryptografia w urządzeniu IP-KRYPTO
W urządzeniu IP-KRYPTO będą
wykorzystywane n/w przekształcenia
kryptograficzne:
•
algorytm szyfru blokowego,
• kryptograficzna funkcja skrótu,
• kryptografia asymetryczna
• schemat Diffie – Hellmana
• podpisy cyfrowe
23
Literatura
[1] RFC 2104 „HMAC: Keyed-Hashing for Message Authentication”.
[2] RFC 2401 „Security Architecture for the Internet Protocol”.
[3] RFC 2402 „IP Authentication Header”.
[4] RFC 2403 „The Use of HMAC-MD5-96 within ESP and AH”.
[5] RFC 2404 „ The Use of HMAC-SHA-1-96 within ESP and AH”.
[6] RFC 2405 „The ESP DES-CBC Cipher Algorithm With Explicit IV”.
[7] RFC 2406 „IP Encapsulating Security Payload”.
[8] RFC 2407 „The Internet IP Security Domain of Interpretation for
ISAKMP”.
[9] RFC 2408 „Internet Security Association and Key Management
Protocol”.
[10] RFC 2409 „The Internet Key Exchange (IKE)”.
[11] RFC 2410 „The NULL Encryption Algorithm and Its Use With
IPsec”.
[12] RFC 2411 „IP Security Document Roadmap”.
[13] RFC 2451 „The ESP CBC-Mode Cipher Algorithms”.
[14] RFC 2709 „Security Model with Tunnel-mode IPsec for NAT
Domains”.
[15] RFC 2857 “The Use of HMAC-RIPEMD-160-96 within ESP and
AH”.