Использование IPSec для защиты данных

Содержание

• Обзор VPN технологий.• Обзор протокола IPSec.• Уязвимости IPSec.• Проектирование, примеры внедрения

Обзор VPN технологий.

Уровни модели OSI и VPN технологии

Уровень OSI• 7 Application

• 4 Transport• 3 Network• 2 Data Link

VPN технология• HTTPS, PGP

• SSL/TLS, SSH• IPSec, MPLS L3VPN, GRE• VPLS, L2TP, PPTP, ATM

Типы VPN

Remote Access Site to Site

SSL, PPTP, L2TP, IPSec MPLS VPNs, IPSec, GRE

Основные характеристики защищенных VPN

• Конфиденциальность данных• Целостность данных• Аутентификация источника• Контроль доступа

Защищенные VPN Доверительные VPNSSL, IPSec, GRE/L2TP over IPSec, SSH MPLS L2/L3 VPN, GRE, L2TP

Обзор протокола IPSec

Архитектура IPSec (IP Security)• Режимы работы – туннельный и транспортный

Протокол RFC Описание

Authentication Header (АН)

4302 Обеспечивает целостность передаваемых данных, аутентификацию источника информации и replay protection

Encapsulating Security Payload (ESP)

4303 Обеспечивает шифрование, целостность передаваемых данных, аутентификацию источника информации и replay protection

Internet Key Exchange (IKE)

2409, 4109, 4306 Обеспечивает согласование протоколов и безопасный обмен ключами

Архитектура IPSec (IP Security)

Протокол RFC Описание

HMAC: Keyed-Hashing for Message Authentication

2104 Аутентификация

Diffie-Hellman Key Agreement Method

2631 Алгоритм обмена ключами

MD5, SHA 2403, 2404 Проверка целостности

Authentication Header (АН)

Encapsulating Security Payload (ESP)

Установка защищенного соединения

Уязвимости IPSec

Уязвимости IPSecИнструменты Защита

Возможность подбора PSK при перехвате траффика Phase 1 Aggressive Mode

IKE-Scan, PSK-Crack, Cain Использование сертификатов для аутентификации, XAUTH, OTP Token

Spyware, кража оборудования удаленных пользователей

Использование сертификатов для аутентификации, XAUTH, OTP Token

Уязвимости/ошибки в ПО VPN оборудования

Отслеживание публикаций о уязвимостях, регулярное обновление ПО

Проектирование, примеры внедрения

Site-to-Site IPSec

• PKI для управления сертификатами

• SCEP (Simple Certificate Enrollment Protocol) – автоматизация раздачи сертификатов

•OCSP (Online Certificate Status Protocol) – онлайновая проверка статуса сертификата

•Наличие ASIC акселерации шифрования

•Централизованная система мониторинга/управления для инсталяций с большим количеством сайтов

Remote access IPSec

• Дополнительная аутентификация XAUTH, OTP

Использованные источники:

• https://tools.ietf.org• wikipedia.org• http://www.deepsh.it/networking/IPSec.html

Спасибо!