IP Security Architecture RFC2401-RFC2412 Tommi Lepistö Mika Hiltunen
Pääkohdat IPsecin käyttö yleisesti Käyttökohteista Toiminta Tietoturvaprotokollat: AH, ESP Salausmoodit Avaintenvaihtoprotokollat: IKE ym. Tunnettuja haavoittuvuuksia
Yleistä IPsecia käytetään IP-tasolla suojana luottamuksellisuutta vaativiin yhteyksiin. Pankkiyhteydet Yritysten etätyöyhteydet Viranomaisten luottamuksellisten tietojen välitys
Johdanto IPsec on joukko TCP/IP-perheeseen kuuluvia tietoliikenneprotokollia. IPsecin tarjoamia palveluita: Pääsynvalvonta Yhteydetön eheys Autentikointi Luottamuksellisuus Replay suojaus
Käyttökohteita Turvallinen end-to-end yhteys Työasema-työasema Reititin-reititin Työasema-reititin Toimii OSI-mallin verkkokerroksella IP-liikenteen suojaus TCP, UDP, ICMP, BGP jne. VPN Myös langattomiin verkkoihin
Toiminta Tietoturvaprotokollat AH ESP Avaintenvaihtoprotokolla IKE (RFC:ssa) ISAKMP, Oakley, SKEME Myös muita kuten KDC (Kerberos) tai SKIP voidaan käyttää Salausmoodit Transport ja Tunnel
AH Authentication header Eheys Autentikointi Replay-suoja (optio) Pakettiin liitetään mukaan tiiviste ”Koko” IP-paketin suojaaminen Muuttumattomat kentät mukaan tiivisteeseen
ESP Encapsulating Security Payload AH:n palveluiden lisäksi luottamuksellisuus Vain hyötydata salataan Salausalgoritmit DES-CBC (ei turvallinen, RCF:ssa) NULL (ei luottamuksellisuutta) ESP-3DES
Käytöstä AH:a ja ESP:a voidaan käyttää yhdessä tai erikseen Yksi IPsec -käytävä Esim. kaikki liikenne salataan samaan putkeen Monta IPsec -käytävää Esim. jokaiselle TCP-sessiolle erikseen
AH ja ESP otsikoiden sijoittuminen IP- pakettiin
Transport Mode Yhteys työasemien välillä Ei voida salata reititystietoja
Tunnel Mode Koko alkuperäinen IP-paketti salataan Reititys uuden IP-otsikon mukaan
Internet Key Exchange, IKE ISAKMP Sisältää tietoturva-aukkoja Tulevaisuudessa? JFK (just fast keying) IKEv2
Haavoittuvuuksista ESP + tunnel mode Määritä ESP käyttämään eheyden sekä luotettavuuden tarkistusta ISAKMP
Yhteenveto AH, ESP Eheys, autentikointi, luottamuksellisuus, replay-suoja Transport, Tunnel Transport salaa vain hyötydatan Tunnel salaa koko IP-paketin Tunnel mode + AH + ESP = hyvä tietoturva