Please enable JavaScript.
Coggle requires JavaScript to display documents.
Lezione 29: protocollo ESP IPSec - Coggle Diagram
Lezione 29: protocollo ESP IPSec
ESP
fornisce servizi di segretezza del contenuto e del flusso del traffico (parzialmente) e opzionalmente l'autenticazione
Composto da
Padding
e
Pad length
Gestione del riempimento in relazione alla dimensione della word (32 bit)
Consente di espandere testo in chiaro rendendolo adatto alle esigenze di lunghezza richieste dall'algoritmo di cifratura
Offre un parziale servizio di segretezza del flusso del traffico in quanto inserendo bit di riempimento si nasconde l'effettiva lunghezza del payload
Soddisfa formato ESP:
pad length
e
next header
allineati a destra all'interno di una word di 32 bit
Next header
Tipo dati contenuti nel payload data
Payload data
Segmento trasporto dati
Modalità trasporto
IP header resta fuori e leggibile
Pacchetto IP intero
Modalità tunnel
Authentication data
Contiene valore
integrity check
(generato come in AH) e calcolato sul pacchetto ESP senza authentication data
SPI
e
Sequence number
Funzionamento analogo ad AH
Nella modalità
trasporto
l'intestazione ESP viene inserita nel pacchetto IP immediatamente prima dell'intestazione del livello di trasporto e dopo il pacchetto viene aggiunta una
coda ESP
eventualmente seguita dal campo
ESP di authentication data
se richiesto
L'intero segmento del livello di trasporto viene cifrato insieme alla coda ESP
Nella modalità
tunnel
l'intestazione ESP precede il pacchetto
Viene l'intero pacchetto più la coda ESP
Si riescono a sventare attacchi di analisi del traffico
Combinazioni di associazioni di sicurezza
È possibile che sia richiesto l'uso di AH e ESP in modo
combinato
oppure che i servizi tra gli host siano
diversi
da quelli richiesti dal gateway
Combinazione di più SA
Queste associazioni dentro altre possono terminare negli stessi o in diversi punti di destinazione
Adiacenza trasporto
: si applica allo stesso pacchetto IP più protocolli di sicurezza senza usare la modalità tunnel
Tunnel iterato
: si applicano più protocolli di sicurezza tramite la modalità tunnel
Ogni tunnel può avere diversa origine e destinazione
Combinazione fra gateway che implementano IPSec con sicurezza end-to-end
Situazione precedente con aggiunta uno o più associazioni di sicurezza per end-to-end
VPN tra due reti locali
Combinazione per l'accesso di un host remoto ad un gateway aziendale per poi accedere ad un server interno
Connessione IPSec stabilita tra host e gateway aziendale (firewall)
Stabiliti tunnel host può comunicare altre macchine all'interno della rete aziendale protette da un altro firewall usando una o due SA
Combinazioni tra gateway che implementano IPSec (non host)
Sicurezza fornita solo fra gateway
Il traffico è in chiaro fino ai gateway
Combinazione tra terminali che implementano IPSec
In questa connessione sicura protetta da SA la sicurezza viene fornita dai sistemi terminali che implementano IPSec
Gestione delle chiavi
Oakley key determination protocol
Scambio di chiavi basato su un algoritmo
Diffie-Hellman migliorato
Chiavi segrete create solo quando necessario
No architettura pre-esistente ma accordo globale parametri
Inserisce meccanismo cookie per evitare attacchi
clogging
Utilizza nonce per difendersi da attacchi replay
Autentica scambio per impedire attacchi man-in-the-middle
Inernet security association key
Architettura per la gestione delle chiavi e supporto negoziazione SA
Specifica procedure e formati dei pacchetti per attivare, negoziare, modificare e cancellare le SA
Intestazione ISAKMP
1+ payload ISAKMP di diversi tipi che contengono a loro volta un'intestazione generica
Ogni tipo sono preceduti da un'intestazione generica