Internetin turvallisuus

Samankaltaiset tiedostot
T Tietokoneverkot kertaus

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Internet Protocol version 6. IPv6

IPsec-SA:n perustaminen. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. Luottamuksenhallinta. Arkkitehtuuri Internetin turvallisuudelle

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH)

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31, 30 (vanha kirja ss ) Internet Protocol (IPv6)

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

OSI ja Protokollapino

Langattomat lähiverkot. Matti Puska

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

L2TP LAN to LAN - yhteys kahden laitteen välille

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

TW- EAV510 / TW- EAV510 AC: IPSeC- Ohjeistus

Tietoturvatekniikka Ursula Holmström

Salaustekniikat. Kirja sivut: ( )

T Cryptography and Data Security

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

2/24/15. Verkkokerros 1: IP-protokolla CSE-C2400 Tietokoneverkot Kirjasta , 4.4. ja 8.7. Verkkokerros. Verkkokerroksen tehtävä

Verkottunut suunnittelu

Yritysturvallisuuden perusteet

Tietoturvan peruskurssi

ELEC-C7241 Tietokoneverkot Multimedia, tietoturva, jne.

Verkkokerros 1: IP-protokolla

Internet-protokolla versio 6

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

TURVALLISEN ETÄYHTEYDEN LUOMINEN

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Sonera Hosted Mail -palvelun käyttöohje

Turvallinen etäkäyttö Aaltoyliopistossa

Palomuurit I. () 24. helmikuuta / 86

Internet-protokolla versio 6

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Internet-protokolla versio Miika Komu Kalvot: Sanna Suoranta Comer luku 31, 30 (vanha kirja ss )

Internet-protokolla versio 6

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

POP PANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Tietoturva P 5 op

Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

OMA SÄÄSTÖPANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

TEKNIIKAN JA LIIKENTEEN TOIMIALA. Tietotekniikka. Tietoliikennetekniikka INSINÖÖRITYÖ VPN-RATKAISUJEN VERTAILU

IPv6. IPv6. IPv6-otsake. Otsakekentät. 16 tavun osoitteet => rajaton määrä osoitteita

CIDR on kikkailua, ei ratkaise IP:n perusongelmia tavoitteita:

Sovelluskerros. Sovelluskerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros

Tietoliikenne II (2 ov)

Opinnäytetyön loppuseminaari

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31, 30 (vanha kirja ss ) Internet Protocol (IPv6)

VPN-YHTEYDEN TOTEUTUS- TAVAT

Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

SALAUSMENETELMÄT. Osa 2. Etätehtävät

Tutkimus web-palveluista (1996)

in condition monitoring

Maailman ensimmäinen Plug & Go etäyhteyslaite

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Verkkojen tietoturva Luentomateriaali, kevät Timo Karvi. HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Siirtyminen IPv6 yhteyskäytäntöön

TURVALLINEN ETÄKÄYTTÖYHTEYS

Reititys 3. Multihoming, liikkuvuudenhallinta ja vielä vähän muutakin reitityksestä. luvut 18 ja verkkolähteet

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

IPv6 &lanne Ciscon tuo2eissa

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Liikkuvien isäntäkoneiden reititys

5. Mobile IP (RFC 3220)

Security server v6 installation requirements

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Introduction to Network Security basic algorithms, technology, trust

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

ETÄYHTEYSRATKAISUN TOTEUTTAMINEN JA TUOTTEISTAMINEN

Security server v6 installation requirements

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Introduction to exterior routing

Tietoturvan perusteita

Tietoturvan Perusteet Autentikointi

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Transkriptio:

Internetin turvallisuus s. 576-646 1

Sisältö Turvallisuuden osa-alueet Palomuurit Yksityisverkot (Virtual Private Network VPN) Internet Protocol Security (IPsec) Luottamuksenhallinta 2

Turvallisuus Luottamuksellisuus (confidentiality) Eheys (integrity) Saatavuus (availability) Pääsynvalvonta (access Control) Todennus ja valtuutus (authentication and authorization) Kiistämättömyys (non-repudiation) 3

Kryptologia (cryptology) Symmetrinen ja julkisen avaimen salakirjoitus Digitaaliset allekirjoitukset Kryptograafiset tiivistefunktion (hash function) Message Authentication Code (MAC) Satunnaislukugeneraattorit 4

Palomuurit 5

do what I m ean Internet palomuuri palomuuri KOTI TYÖPAIKKA 6

Palomuuri Yrityksen intranet Internet Erottaa sisäverkon ja ulkoverkon Toteuttaa pääsypolitiikan Piilottaa sisäverkon rakenteen (esim. yhteistoiminta NAT:n kanssa Seuranta ja hälytykset 7

Verkkokerroksen palomuurit Kutsutaan myös pakettipalomuureiksi (packet filter) Pääsypäätös perustuu IP-osoitteisiin ja TCP/UDPportteihin Estää kaikki tietosähkeet, paitsi tietyt osoitteet, portit ja protokollat Jokainen paketti käsitellään erikseen Yksinkertainen ja tehokas Voidaan toteuttaa reitittimessä Ei standardeja, toteutukset valmistajakohtaisia 8

Verkkokerroksen palomuurien ongelmat Palomuuri ei ymmärrä yhteyden sisältöä Tarvitaan yksityiskohtaiset tiedot verkon palveluista Uusien palveluiden mukaanotto määriteltävä aina erikseen Yksityiset portit (asiakas-palvelin-yhteydet) Valtuuttamattoman liikenteen tunnelointi mahdollista 9

Sovelluskerroksen palomuurit Välittäjäpohjaiset palomuurit (proxy-based) Ymmärtävät käytettäviä sovelluksia Monimutkaisempia mutta muutoskykyisenpiä 10

Valvonta Eng. surveillance tai monitoring Tarkoitus on huomata ongelmat ja murtoyritykset Aktiivinen: esim. Lähetetään sähköpostia ylläpitäjälle Passiivinen: kirjoitetaan lokiin Huom. Jos joku on päässyt murtautumaan järjestelmään, hän saattaa pystyä myös muuttamaan lokia 11

Yhteenveto palomuureista Palomuurit estävät valtuutonta pääsyä verkkoon ja sen laitteisiin Palomuurin hallinta vaatii tietämystä Henkilökohtaiset palomuurit? Palomuurit eivät ratkaise kaikkia tietoturvan palveluita 12

Yksityisverkot (Virtual Private Network VPN) I 13

Yksityisverkot (VPN) Yhteys organisaation sisäverkkoon Internetin yli Ei varata yksityistä kanavaa (vuokrattu linkki) yhdistämään verkkoja Toteutetaan tunneloimalla ja salaamalla suojataan luottamuksellisuutta ja yksityisyyttä Useita valmistajakohtaisia toteutuksia sekä rauta- että ohjelmistototeutuksia I 14

Ominaisuudet Turvapolitiikka millaiset yhteydet sallitaan Pääsynvalvonta kuka voi ottaa yhteyttä Turvalliset yhteydet mitä turvapalveluita käytetään Tarvitaan jonkinlainen valtuutusmenetelmä I 15

Käyttäjän tunnistus Perinteiset salasanat (heikko) Kertakäyttösalasanat (one-time password OTP) S/Key määritelty: RFC 2289 Salaisuus (secret passphrase) OTP:n generointiin Autentikoinnin asiakas-palvelin menetelmät Password Authentication Protocol (PAP) Point-to-Point (PPP) protokollan tapa Salasanoihin pohjautuva kaksisuuntainen kädenpuristus Ei turvallinen, käytetään selväkieltä I 16

Käyttäjän tunnistus Challenge Handshake Authentication Protocol (CHAP) Kolmitiekättely: haaste-vaste-hyväksyntä Perustuu jaettuun salaisuuteen asiakkaan ja palvelimen välillä Terminal Access Controller Access-Control System (TACACS) Remote Authentication Dial-in User Service (RADIUS) Keskitetty palvelin Diameter (kehitetty RADIUSista) Rautapohjaiset järjestelmät esim. tokenit I 17

VPN-tunneli läpi Internetin IPsec ja turva-gateway Point-to-Point Tunneling Protocol (PPTP) PPTP käyttää (MS-)CHAP autnetikointia (Windows) Layer Two Tunneling Protocol (L2TP) RFC 2661 Perustuu PPTP:n ja Ciscon L2F, sekä IPseciin I 18

VPN-yhteenveto Yksityisverkot (Virtual Private Network) on konsepti Useita erilaisia toimittajakohtaisia ratkaisuja saatavilla Voidaan suunnitella soveltumaan hyvin tietyn organisaation tarpeisiin I 19

Internet Protocol Security (IPsec) 20

Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros IKE IPsec Internet Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros 21

IP Security (IPsec) Tiedon suojaus ja suojaustavan neuvottelu Authentication Header (AH) Encapsulating Security Payload (ESP) Internet Key exchange (IKE) Kuljetus (transport) ja tunnelointi (tunneling) Kahden isäntäkoneen, kahden turva-gatewayn tai turva-gatewayn ja isäntäkoneen välillä Toimii sekä IPv4:n että IPv6:n kanssa Silti aivan sama protokolla 22

IPsec tarjoaa Pääsynvalvonta (access control) Yhteydetön eheys (connectionless integrity) Tiedon alkuperän todennus (data origin authentication) Suojaus toistoa vastaan Luottamuksellisuus (confidentiality) Rajoitettu vuon luottamuksellisuus Mitä nämä oikeasti tarkoittavat IPsecin kohalla? 23

IPsec-kehys (framework) SPD SAD Yhteyden suojaamiseen käytetyt turvapalvelut (SA: avaimet jne) talletetaan SAD-tietokantaan Viestit suojattu: IPsec AH ja/tai ESP abc..spi..xyz SPI hakuavaimena (käytettävä SA) IKE: SA:n hallintaan SAD SPD Yleiset säännöt SA:n luomiseksi tässä organisaatiossa Talletetaan SPD:hen) 24

IPsec Framework (2) SA: Turva-assosiaatio (security association) SPD: Turvapolitiikkatietokanta (security policy database) SAD:Turva-assosaatiotietokanta (security association database) IKE: Avaintenhallinta (key management) AH: Todennusotsikko (authentication header) ESP: Salausotsikko (encapsulating security payload) 25

Turva-assosiaatio (SA) SA määrittelee käytetyt turvapalvelut Käytetty turvaprotokolla, algoritmit ja mekanismit Joita käytetään kahden päätepisteen välisellä yhteydellä yhteen suuntaan SA:n tunniste: Security Parameter Index (SPI), kohteen IPosoite ja turvaprotokollan tunniste 26

SA- ja turvapolitiikkatietokannat Security Association Database (SAD) Kaikkien käytössä olevien yhteyksien SAt Security Policy Database (SPD) (Organisaatiossa) käytössä olevat turvapalvelut: millaiset SAt ovat sallittuja Kaikkien yhteyksien turvallisuuden hallinta IPsec ei määrittele kuinka tietokantoja käytetään Paikallinen päätös (toimittajakohtaista) 27

IKE Internet Key Exchange (IKE) IPsecin avaintenvaihto- ja SA:n hallintaprotokolla Käyttää Diffie-Hellman avaintenvaihtoa Ensimmäisessä vaiheessa: SAt päätepisteiden välille osapuolten tunnistus ja neuvottelun turvaaminen Toinen vaihe: SA IPsec-yhteydelle Ei tarvita kolmatta osapuolta tai palvelinta Nykyinen versio IKEv2 28

IKE IKE-SA:n perustaminen HDR SA i KE i N i HDR SA r KE r N r [CERTREQ] HDR* ID i [CERT] [CERTREQ] [ID r ] AUTH SA i2 TS i TS r HDR* ID r [CERT] AUTH * kaikki otsikon jälkeen on suojattu SA r2 TS i TS r IKE-SA perustettu 29

IKE IPsec-SA:n perustaminen HDR* SA N i [KE i ] [TS i TS r ] IKE SA olemassa HDR* SA N r [KE r ] [TS i TS r ] IPsec SA perustettu 30

IKEv2 - Otsikko 0 8 16 24 31 INITIATOR S SPI (64 bits) RESPONDER S SPI (64 bits) NEXT PAYLOAD MjV MnV EXCHANGE TYPE FLAGS MESSAGE ID LENGTH SPI: lähettäjä valitsee (vastaanottajan SPI aluksi 0) Seuraava kuorma (next playload) Viestinvaihtotyyppi määrittelee viestit 0-33 varattu, 34 SA init, 35 auth, 36 child SA, 37 Informational, 38-239 IANA, 240-255 private IKE 31

IKE IKEv2 - Otsikko Kaksi versionumeroa, major ja minor ylin ja alin ymmärrettävä versio Liput (3.) I(nitiator)=1, alkuperäinen 1. lähettäjä lähettää (4.) V(ersion)=1, jos ymmärretään uudenpaakin (5.) R(esponse)=1, jos viesti on vastaus (0.-2. ja 6.-7.) = 0 (varattu) 32

IKE Message ID IKEv2 - Otsikko Käytetään vaiheessa 2 (eli IPsecin SA:ta luotaessa) Lähettäjän valitsema satunnaisluku Käytetään identifioimaan SA neuvottelun aikana Pituus Otsikko+hyötykuormat oktetteina Huom: salaus saattaa pidentää pakettia 33

IKE IKEv2- Yhteinen alku viesteille ja optiot 0 8 16 31 NEXT PAYLOAD C reserved PAYLOAD LENGTH Kaikki ISAKMP-hyötykuormat alkavat TLV: 0 TYPE LENGTH VALUE 1 TYPE VALUE Atribuutteja käytetään SA-määrityksissä joko TLV- tai TV-tyyppiä Ensimmäinen bitti merkitsee TV: 34

IKE Turva-assosiaatio (SA) Security Association (SA) -hyötykuorma Proposal 1: ESP-otsikko Transform: IDEA-algoritmi Proposal 1: AH-otsikko Transform: MD5-algoritmi Proposal 2: AH-otsikko Transform: MD5-algoritmi Molemmat käytössä tai vain tämä käytössä 35

IKE Security Association Payload (SA) Seuraava otsikko ei P (=2) tai T (=3) Oktetteina: tämä otsikko +proposalit+transformit 0 8 16 31 NEXT PAYLOAD C RESERVED PAYLOAD LENGTH <PROPOSALS> C=critical 1&ei ymmärretä tätä payloadia -> hylätään koko viesti Lisäksi yksi tai useampi Proposal-hyötykuorma 36

IKE Proposal Payload (P) 0=ei lisää pituus oktetteina ehdotuksia SPI:n pituus (mukaan lukien 2=toinen IKE=8, AH&ESP=4 transformit) ehdotus 0 8 16 24 31 NEXT P. RESERVED PAYLOAD LENGTH PROPOSAL # PROTOCOL ID SPI SIZE #OF TRANSFORMS SECURITY PARAMETER INDEX (SPI) (variable) ehdotuksen tunniste ehdotusta koskevan protokollan tunniste IKE=1, AH=2, ESP=3 lähettäjän käyttämä SPI kuinka monta transformhyötykuormaa 37

IKE Transform Payload (T) 0=ei lisää määrityksiä tämän palan 3=lisää määrityksiä pituus oktetteina 0 8 16 24 31 NEXT P. RESERVED PAYLOAD LENGTH T TYPE RESERVED TRANSFORM ID ATTRIBUTES 1 = encryption (IKE&ESP) 2=random function (IKE) 3=integrity (IKE&AH&ESP) 4=D-H group (IKE) 5= sequence # (AH&ESP) esim. transform type 1, Transform ID 5=IDEA salausavaimen pituus, jos käytetään vaihtelevanmittaista avainta 38

IKE Key Exhange Payload (KE) NEXT P. C RESERVED PAYLOAD LENGTH DH Group # RESERVED KEY EXCHANGE DATA x X=g mod n X Y y Y=g mod n x k=y mod n y k=x mod n X, Y, g ja n ovat julkisia, lasketaan nonssien avulla x ja y salaisia, ei siirretä verkon yli 39

IKE Identity Payload (ID) 0 8 16 24 31 NEXT P. RESERVED PAYLOAD LENGTH ID TYPE RESERVED IDENTIFICATION DATA Käytetään identiteettitiedon vaihtamiseen Osapuolten tunnistaminen Tiedon autenttisuuden määrittämistapa ID-tyyppi: 1= IP-osoite, 2=domain-nimi, 3=sähköpostiosoite, 4= IPv6-osoite 40

IKE Authentication Payload (AUTH) 0 8 16 24 31 NEXT P. RESERVED PAYLOAD LENGTH AUTH METHOD RESERVED AUTHENTICATION DATA Todennus on allekirjoitus edellisestä viestistä 1 = digitaalinen allekirjotus RSA:lla 2 = Jaettu avain 3= digitaalinen allekirjoitus DSS:llä Viestissä oleva vastapuolen nonssi takaa tuoreuden 41

IKE Certificate Payload (CERT) 0 8 16 24 31 NEXT P. RESERVED PAYLOAD LENGTH CERT Encoding CERTIFICATE DATA Sekä sertifikaattien että niiden hallintaan: 1=X.509, 2=PGP, 4=X.509 singature, 9=SPKI certificate, 11=RSA avain 7=Certificate Revocation List (CRL) jne 42

IKE Encrypted payload (*) 0 8 16 24 31 NEXT P. C RESERVED PAYLOAD LENGTH INITIALIZATION VECTOR Encrypted IKE payloads PADDING (0-255 octets) PAD LENGTH INTEGRITY CHECKSUM DATA NEXT=paketin sisällä olevan tunniste Käytetyt algoritmit ja avaimet selviävät otsikon SPI:n avulla 43

IKE Traffic Selector Payload (TS) 0 8 16 24 31 NEXT P. RESERVED PAYLOAD LENGTH # of TSs RESERVED <TRAFFIC SELECTOR> Traffic selector: 0 8 16 24 31 TS TYPE UDP/TCP/ICMP SELECTOR LENGTH START PORT END PORT STARTING ADDRESS ENDING ADDRESS 44

IKE Traffic Selector (TS) Hyötykuormaa käytetään vuon tunnistukseen TS-tyyppi: IPv4 vai IPv6 ID Protocol OD: UDP/TCP/ICMP/mikä vaan Portit: pienin sallittu porttinumero (tai 0=kaikki sallittu) ja suurin porttinumero (65535 jos kaikki sallittu) Osoitteet: osoitealue sallituille osoitteille 45

IPsec Huomaa, että IPsec pitää oikeastaan sisällä myös edellä esitetyn, ei vain seuraavaksi esitetyt asiat Kaksi tapaa: tunnelointi ja transport 46

AH/ESP IPsec-tunnelointi Tunnelointia käytetään kun toinen tai molemmat yhteyden päätepisteet ovat turva-gatewaytä Uusi IP-otsikko lisätään kokonaan suojatun alkuperäisen IP-otsikon (ja IPsec-otsikoiden) eteen Koko alkuperäinen paketti on suojattu sovituilla menetelmillä suojattu Uusi IPotsikko AH/ESP Alkup. IP-otsikko Ylemmän kerroksen protokollan otsikko ja data traileri 47

AH/ESP Suojaus (transport mode) IP (4or6) AUTHENTICATION TCP/UDP DATA HEADER HEADER HEADER Suojattu muuttamiselta (muuttumattomat kentät) IP HEADER IP HEADER ESP HEADER AUTH HEADER TCP/UDP HEADER ESP HEADER DATA eheys luottamuksellisuus D TCP/UDP A HEADER T A ESP TRAILER ESP TRAILER ESP AUTH ESP AUTH 48

IPsec Authentication Header (AH) 0 8 16 31 NEXT HEADER PAYLOAD LEN RESERVED SECURITY PARAMETER INDEX (SPI) SEQUENCE NUMBER AUTHENTICATION DATA... Yhteydetön eheys ja tiedonlähteen todennus Todentaa IP-otsikon muuttumattomat kentät ja tietosähkeen sisällön AH/ESP 49

IPsec Encapsulating Security AH/ESP Payload (ESP) 0 16 24 31 SECURITY PARAMETER INDEX SEQUENCE NUMBER PAYLOAD DATA... PADDING PAD LENGTH NEXT HEADER ESP AUTHENTICATION DATA... Yhteydetön eheys, tiedonlähteen tunnistus, ja/tai luottamuksellisuus Sisältää sekä otsikon että trailerin 50

AH/ESP SPI ja SA Security Parameter Index (SPI kertoo yhteydellä käytetyn SA:n Viestin vastaanottajan käyttämä SPI:n vastaanottaja käyttää sitä tietokantahakunsa avaimena SA määrittelee käytettävät algoritmit ja avaimet SA voi olla erilainen yhteyden eri suuntiin 51

IPsec-yhteenveto SA:n sopiminen IKE:n avulla SPD:stä politiikkamääritykset Käytetyt SA:t talletetaan SADiin Sovitun suojauksen käyttö yhteydellä SPI:n avulla etsitään käytetty SA SADtietokannasta IPsec AH ja/tai ESP 52

Luottamuksenhallinta Julkisen avaimen infrastruktuuri (public key infrastructure PKI) tarjoaa todennettuja avaimia Sertifikaatit ovat allekirjoitettuja dokumentteja tämä julkinen avain kuuluu Teemu Teekkarille X.509 (identity certificates) SPKI (authorization certificates) Luotetut kolmannet osapuolet (trusted third parties TTP) Kerberos etc. 53

Arkkitehtuuri Internetin turvallisuudelle TRUST AND POLICY MANAGEMENT HOST OS APPLICATION PROTOCOLS AUTHENTICATION PROTOCOL(S) CERTIFICATE REPOSITORY HOST OS SESSION/CONNECTION LEVEL SECURITY COMMUNICATION INFRASTRUCTURE Pekka Nikander s Doctoral Thesis 1999 54

Lähteitä A. J. Menezes, P. C. van Oorschot, S. A. Vanstone: Handbook of Applied Cryptography http://www.cacr.math.uwaterloo.ca/hac/ Pekka Nikander: An Architecture for Authorization and Delegation in Distributed Object-Oriented Agent Systems, väitöskirja 1999 55

IPsec RFCs 4301- Security Architecture for the Internet Protocol, 2005 4302 - IP Authentication Header, 2005 4303 - IP Encapsulating Security Payload (ESP), 2005 4306 - The Internet Key Exchange (IKE), 2005 2411 - IP Security Document Roadmap, 1998 56

Yhteenveto Internet ei ole luotettava (turvallisuusmielessä) Useita tekniikoitta turvallisuuden toteuttamiselle IPsec: todennus ja luottamuksellisuus Palomuurit: pääsynvalvonta ja sisäverkon piilottaminen Yksityisverkot (VPN): suojattu yhteys Internetin kautta sisäverkkoon (tai sisäverkkojen välillä) 57

Seuraavat luennot 28.9. Bengt Sahlin: DNS+DNSsec Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros 58

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute