Василий Лымарь "Использование протокола ipsec для...
DESCRIPTION
TRANSCRIPT
Использование IPSec для защиты данных
Содержание
• Обзор VPN технологий.• Обзор протокола IPSec.• Уязвимости IPSec.• Проектирование, примеры внедрения
Обзор VPN технологий.
Уровни модели OSI и VPN технологии
Уровень OSI• 7 Application
• 4 Transport• 3 Network• 2 Data Link
VPN технология• HTTPS, PGP
• SSL/TLS, SSH• IPSec, MPLS L3VPN, GRE• VPLS, L2TP, PPTP, ATM
Типы VPN
Remote Access Site to Site
SSL, PPTP, L2TP, IPSec MPLS VPNs, IPSec, GRE
Основные характеристики защищенных VPN
• Конфиденциальность данных• Целостность данных• Аутентификация источника• Контроль доступа
Защищенные VPN Доверительные VPNSSL, IPSec, GRE/L2TP over IPSec, SSH MPLS L2/L3 VPN, GRE, L2TP
Обзор протокола IPSec
Архитектура IPSec (IP Security)• Режимы работы – туннельный и транспортный
Протокол RFC Описание
Authentication Header (АН)
4302 Обеспечивает целостность передаваемых данных, аутентификацию источника информации и replay protection
Encapsulating Security Payload (ESP)
4303 Обеспечивает шифрование, целостность передаваемых данных, аутентификацию источника информации и replay protection
Internet Key Exchange (IKE)
2409, 4109, 4306 Обеспечивает согласование протоколов и безопасный обмен ключами
Архитектура IPSec (IP Security)
Протокол RFC Описание
HMAC: Keyed-Hashing for Message Authentication
2104 Аутентификация
Diffie-Hellman Key Agreement Method
2631 Алгоритм обмена ключами
MD5, SHA 2403, 2404 Проверка целостности
Authentication Header (АН)
Encapsulating Security Payload (ESP)
Установка защищенного соединения
Уязвимости IPSec
Уязвимости IPSecИнструменты Защита
Возможность подбора PSK при перехвате траффика Phase 1 Aggressive Mode
IKE-Scan, PSK-Crack, Cain Использование сертификатов для аутентификации, XAUTH, OTP Token
Spyware, кража оборудования удаленных пользователей
Использование сертификатов для аутентификации, XAUTH, OTP Token
Уязвимости/ошибки в ПО VPN оборудования
Отслеживание публикаций о уязвимостях, регулярное обновление ПО
Проектирование, примеры внедрения
Site-to-Site IPSec
• PKI для управления сертификатами
• SCEP (Simple Certificate Enrollment Protocol) – автоматизация раздачи сертификатов
•OCSP (Online Certificate Status Protocol) – онлайновая проверка статуса сертификата
•Наличие ASIC акселерации шифрования
•Централизованная система мониторинга/управления для инсталяций с большим количеством сайтов
Remote access IPSec
• Дополнительная аутентификация XAUTH, OTP
Использованные источники:
• https://tools.ietf.org• wikipedia.org• http://www.deepsh.it/networking/IPSec.html
Спасибо!