Προχωρημένα Θέματα Δικτύων Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής ΑΠΘ Μάθημα: 5 – Κρυπτογραφία για δίκτυα
Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία Τα πρωτόκολλα του application layer (SMTP, HTTP) δεν παρέχουν καμιά ασφάλεια To SSL δημιουργήθηκε για να καλύψει την ανάγκη κρυπτογράφησης των πρωτοκόλλων του application layer και αντικαταστάθηκε από το TLS (Transport Layer Security) TLS → Συμμετρική κρυπτογράφηση για απόρρητο επικοινωνίας και MAC (Message Authentication Code) για προστασία από ΜitM επιθέσεις Αρχικά server & client διαπραγματεύονται τις παραμέτρους ασφαλείας σύνδεσης (αλγόριθμος κρυπτογράφησης/hash function) O server στέλνει το ψηφιακό πιστοποιητικό του (όνομα server/εταιρείας + CA + δημόσιο κλειδί υπογεγραμμένο από την CA) Παραγωγη session key για χρήση στη συμμετρική κρυπτογράφηση → O client κρυπτογραφεί ένα τυχαίο μεγάλο αριθμό (RN) και τον κρυπτογραφεί με το δημόσιο κλειδί του server (PbK) - Ακολούθως τον στέλνει στον server ο οποίος τον αποκρυπτογραφεί με το ιδιωτικό του κλειδί. O RN είναι πλέον το συμμετρικό κλειδί για την περαιτέρω επικοινωνία. LIVE DEMO! Ο client γιατί εμπιστεύτηκε το public key του server; Αν κάποιος MitM είχε υποκλέψει την σύνδεση και την είχε οδηγήσει στον δικό του server;
Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία Σημαντική λεπτομέρεια σχεδίασης του TLS: Χρησιμοποιεί ταυτόχρονα δυο hash functions (MD5 & SHA) με XOR Πρέπει να “σπάσουν” και τα δυο hash functions για να κινδυνεύει ένα μήνυμα από τροποποίηση e06723d4961a0a3f950e7786f3766338 !!!
Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία Σημαντική λεπτομέρεια σχεδίασης του TLS: Χρησιμοποιεί ταυτόχρονα δυο hash functions (MD5 & SHA) με XOR Πρέπει να “σπάσουν” και τα δυο hash functions για να κινδυνεύει ένα μήνυμα από τροποποίηση A + Β + Γ B MD5 A 0110010110 Πληρωμή: 500€ HASH Συμμετρική Κρυπτογράφηση Γ 0101110101 SHA ΑLICE 0010111010... BOB
Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία HTTP::Trusted CA
Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία HTTP::Νοn trusted CA
Ενότητα: Ασφάλεια Δικτύων Kρυπτογραφία SMTP IMAP
Γιατί αργεί να εφαρμοστεί το DNSSEC DNS → Η πιο κρίσιμη υποδομή του Internet – Ιεραρχική σχεδίαση → DEMO Στον αρχικό σχεδιασμό του DNS δεν υπήρξε καμιά πρόβλεψη για ασφάλεια Κύριο πρόβλημα: DNS cache poisoning → Ο επιτιθέμενος τροποποιεί τις απαντήσεις του DNS server ανακατευθύνοντας τους clients σε server της επιλογής του DNSSEC → Domain Name System Security Extensions DNSSEC → Επιβεβαίωση ταυτότητας DNS server, Aσφάλεια από τροποποίηση δεδομένων Στην ιεραρχική δομή του DNS, το DNSSEC προβλέπει ψηφιακή υπογραφή κάθε απάντησης μεταξύ επιπέδων με χρήση κρυπτογραφίας δημοσίου κλειδιού Γιατί αργεί να εφαρμοστεί το DNSSEC Πολιτική & Εξουσία: Ποιος θα έχει τα DNS root keys; Πως θα λειτουργεί ταυτόχρονα με το απλό DNS για την περίοδο μετάβασης; Απαιτείται γράψιμο από την αρχή DNS server & client software
Ενότητα: Ασφάλεια Δικτύων IPsec To Internet Protocol (IP) όπως και το DNS δεν σχεδιάστηκε με έμφαση στην ασφάλεια Οποιοσδήποτε μπορεί να στείλει ένα πακέτο αλλάζοντας την IP του (όπως και οποιοσδήποτε μπορεί να στείλει ένα email αλλάζοντας τους headers του mail ώστε να φαίνεται άλλος αποστολέας) Είδαμε πριν το TLS/SSL που παρέχει ασφάλεια στις επικοινωνίες, όμως πρέπει η χρήση του να γίνει σε επίπεδο εφαρμογής· άρα development To IPsec λειτουργεί στο IP layer και χρησιμοποιείται είτε για ασφαλή host-to-host επικοινωνία, είτε για network-to-network, είτε για host-network IPsec Αρχιτεκτονική Κλειδιά: ΙΚΕ (Internet Key Exchange) ή manual ανταλλαγή (shared keys) Προστασία από αλλαγές (authentication): Authentication Header (AH) Προστασία από διαρροή και αλλαγές (encryption + authentication): Encapsulating Security Payload (ESP)
Ενότητα: Ασφάλεια Δικτύων IPsec Modes λειτουργίας Tunnel Mode → To IP πακέτο κρυπτογραφείται μαζί με τον header του και ενθυλακώνεται σε ένα άλλο IP πακέτο → Έτσι υλοποιούνται τα IPsec VPNs Payload IP header new IP header Encrypted IP Packet → Κρυπτογραφείται μόνο το payload → Ο IP header παραμένει ανέπαφος για να μπορεί να γίνει το routing χωρίς αλλαγές → Eάν χρησιμοποιείται authentication του IP header, τότε οι IP δεν μπορούν να γίνουν translate (NAT), γιατί θα άλλαζε το header checksum Transport Mode Payload IP header Encrypted Payload IP header
Ενότητα: Ασφάλεια Δικτύων IPsec Case study: Κίνηση εταιρικών παραρτημάτων πάνω από untrusted φορέα Shared key Frame Relay 192.168.10.1 192.168.10.2 Point to point untrusted link IPsec Tunnel Προσομοιωτής:
Ενότητα: Ασφάλεια Δικτύων IPsec Εργασία Case study: Κίνηση εταιρικών παραρτημάτων πάνω από untrusted φορέα Cisco IPsec Configuration: crypto isakmp policy 1 encr aes authentication pre-share group 2 lifetime 3600 ! crypto isakmp key MyKey address 192.168.1.2 crypto ipsec transform-set TR-AES esp-aes esp-sha-hmac crypto map toRemoteSite 10 ipsec-isakmp set peer 192.168.1.2 set transform-set TR-AES match address 102 interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto crypto map toRemoteSite ip route 192.168.20.0 255.255.255.0 FastEthernet0/0 ! access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 102 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 Συμπληρώστε όπου χρειάζεται το config των συσκευών. Εξηγείστε τι κάνει η εντολή ip route... και τι συμβαίνει αν αφαιρεθεί. Δείξτε ότι λειτουργεί το IPsec tunnel με την εντολή show crypto map Τρέξτε ένα ping και επιβεβαιώστε με τον προσομειωτή του Packet Tracer ότι όντως τα πακέτα κρυπτογραφούνται
QuiZ #2 Σε κάποια θύρα του 155.207.113.227, σας περιμένει ένας γρίφος. Το σύστημα είναι αυτοματοποιημένο – ΌΧΙ απαντήσεις στο mail μου Διορία: Δεν υπάρχει Έπαθλο: Αύξηση του τελικού βαθμού στο μάθημα κατά 0.7n-1 για την n-οστή απάντηση