Network Security Chapter 4 IP Security Slides by H. Johnson & S. Malladi- Modified & Translated by Sukchatri P.
Outline Need for Internet Security University of Phayao 13/11/2018 Outline Need for Internet Security Internetworking and Internet Protocols Security Overview IP Security Architecture Authentication Header Encapsulating Security Payload Combinations of Security Associations Key Management
Need for Internet Security University of Phayao 13/11/2018 Need for Internet Security ด้วยข้อกำหนดที่มาจากมาตราฐาน public-domain standards พวกบุกรุกทั้งหลาย(intruders) รู้ดีกว่าจะต้องทำสิ่งใด Internet เป็นที่แพร่หลายมากขึ้นตลอดเวลา ไม่ต้องใช้เครื่องมือเป็นพิเศษที่จะเข้าถึงระบบได้ โปรแกรมต่างๆ ได้ใช้กันแพร่หลาย (e.g. web servers and browsers) ในปัจจุบันมีการใช้งานมากขึ้นกว่าเดิม จุดอ่อนหรือข้อเสียของ TCP/IP เช่น ง่ายต่อการปลอมแปลงหรือสวมบทบาทเป็นคนอื่น
ทำไมต้องการรักษาความปลอดภัยที่ชั้น IP? (Why secure at the IP layer?) University of Phayao 13/11/2018 ทำไมต้องการรักษาความปลอดภัยที่ชั้น IP? (Why secure at the IP layer?) มันสามารถป้องกันฯพร้อมๆกันได้และใช้ได้กับหลายๆ โปรแกรม ทุก applications ถูกป้องกันฯได้โดยไม่จำเป็นต้องให้ผู้ใช้มีส่วนร่วม การจัดการที่ส่วนกลางของการรักษาความปลอดภัย รวมถึงการกำหนด นโยบาย การกำหนด keys การและ algorithms และอื่น ๆ
Independent of Applications and Transport University of Phayao 13/11/2018 Independent of Applications and Transport Diverse Apps Web Email Game DB queries FTP SNMP IM TCP UDP Other Transport Secured IP
University of Phayao 13/11/2018 Internet Protocols Internet Protocol (IP) จะมีหน้าที่สำหรับการเชื่อมต่อถึงกัน ผ่านทางระบบเครือข่ายไปยังหลายๆเครือข่าย IPv4 และ IPv6 Routers มีหน้าที่ให้การเชื่อมต่อระหว่างเครือข่าย ข้อมูลจะถูกห่อหุ้มใน IP Protocol Data Unit (PDU) สำหรับการส่ง
การใช้ประโยชน์จาก IPsec University of Phayao 13/11/2018 การใช้ประโยชน์จาก IPsec การกำหนดใช้ Virtual Private Network (VPN) สำหรับการเชื่อมต่อสำนักงานและผู้ใช้ระยะไกลโดยใช้อินเทอร์เน็ต สาธารณะ การเข้าถึงระยะไกลมีต้นทุนต่ำ (Low-cost remote access ) เช่น ผู้ใช้สามารถได้รับการรักษาความปลอดภัยในการเข้าใช้งานเครือข่าย โดยผ่านผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider : ISP ) การเชื่อมต่อทราเน็ต (Extranet connectivity) การมีการสื่อสารที่ปลอดภัยกับคู่สาขาหน่วยงานต่างๆ
OSI Model (7 Layer) University of Phayao 13/11/2018 7 Application : HTTP, SMTP, SNMP, FTP, Telnet, SIP, SSH, NFS, Whois 6 Presentation : XDR, ASN.1, SMB, AFP, NCP 5 Session : ASAP, TLS, SSH, ISO 8327 / CCITT X.225, RPC, NetBIOS, ASP, Winsock, BSD sockets 4 Transport : TCP, UDP, RTP, SCTP, SPX, ATP, IL 3 Network : IP, ICMP, IPX, BGP, OSPF, RIP, ARP, X.25 2 Data Link : Ethernet, Token ring, HDLC, Frame relay, ISDN, ATM, 802.11 WiFi, FDDI, PPP 1Physical : wire, radio, fiber optic
Internet Protocol Model (5 Layer) University of Phayao 13/11/2018 Internet Protocol Model (5 Layer) 5. Application 4. Transport TCP, UDP 3. Internet IP Logical Link Control (LLC) Media Access Control (MAC) 2. Network Interface (like Data Link) 1. Physical
TCP/IP Example University of Phayao 13/11/2018
University of Phayao 13/11/2018 IP Security Overview Application–กำหนดกลไกเฉพาะให้กับโปรแกรมในการใช้งานต่างๆ E-mail (S/MIME, PGP) Client-server (Kerberos) Web Access ( Secure sockets) IP level security (IPSec) ระดับการรักษาความปลอดภัยในชั้น IP Authentication (การรับรอง : ข้อมูลที่ไม่มีการเปลี่ยนแปลงจากแหล่งที่ส่งมา) Confidentiality (ความลับ/ความเชื่อถือ : ต้องมีการเข้ารหัสเพื่อป้องกันการดักจับ หรือแอบฟังข้อมูล) Key Management (การจัดการรหัส key : ความปลอดภัยของการแลกเปลี่ยนคีย์ )
University of Phayao 13/11/2018 IP Security Overview IPSec ไม่ใช่โพรโทคอเดียว แต่ IPSec เป็นกลุ่มของ algorithm ร่วมกับองค์ประกอบทั่วไปอื่นๆ ที่ทำงาน ควบคู่กันไปในการติดต่อสื่อสารระหว่างสองแห่ง โดย ใช้ algorithm ที่ให้ความปลอดภัยที่เหมาะสมในการ สื่อสาร
IP Security Overview การประยุกต์ใช้ IPSec University of Phayao 13/11/2018 IP Security Overview การประยุกต์ใช้ IPSec มีการรักษาความปลอดภัยในการเชื่อมต่อหน่วยงานสาขาผ่านทาง อินเทอร์เน็ต มีการรักษาความปลอดภัยการเข้าถึงระยะไกลผ่านทางอินเทอร์เน็ต มีการติดตั้งหรือใช้งานเครือข่ายแบบ Extranet และ Intranet มีการเพิ่มการรักษาความปลอดภัยให้กับธุรกรรมที่ทำผ่านทาง เครือข่าย
University of Phayao 13/11/2018 IP Security Scenario
IP Security Overview ประโยชน์ของ IPSec University of Phayao 13/11/2018 IP Security Overview ประโยชน์ของ IPSec ง่ายต่อการประยุกต์ใช้ (ในระดับที่ต่ำกว่าชั้น transport layer (TCP, UDP) ให้ความปลอดภัยสำหรับผู้ใช้แต่ละราย IPSec สามารถรับประกันว่า : มีการส่งมาจากการกำหนดทิศทางของ router ที่มาจากแหล่งที่ ถูกต้อง การเปลี่ยนเส้นทางของข้อความมาจากการกำหนดทิศทางที่มาจาก แหล่งกำเนิดของ packet นั้นๆ การกำหนดเส้นทางไม่ได้มีการปั้นแต่งขึ้น
IPsec Architecture มี 2 ทางเลือกคือ โปรโตคอลแบบ : University of Phayao 13/11/2018 IPsec Architecture มี 2 ทางเลือกคือ โปรโตคอลแบบ : Authentication Header (AH) ให้การรับรองความถูกต้อง แต่ไม่เป็นความลับหรือเชื่อถือ Adds extra field to traditional IP packet; used to verify authenticity of the packet เพิ่มเขตข้อมูลเป็นพิเศษจาก IP packet เดิม เพื่อใช้ในการตรวจสอบความถูกต้อง ของแพ็กเก็ต Encapsulating Security Payload (ESP) มีการเข้ารหัสแพ็กเก็ต เป็นส่วนเสริมและรับรองความถูกต้อง ในส่วนเนื้อข้อมูลของ IP packet ได้รับการเข้ารหัสและห่อหุ้มข้อมูลด้วยส่วนหัว และส่วนท้าย
IPSec Document Overview University of Phayao 13/11/2018
IPSec Services โปรโตคอล 2 ชนิดที่มีความจำเป็นคือ : University of Phayao 13/11/2018 IPSec Services IPSec ให้บริการด้านการรักษาความปลอดภัยที่ชั้น IP โดยการเลือกโปรโตคอล แล้วกำหนด algorithm ที่จะใช้ รวมถึงการใส่ตำแหน่งคีย์ในการเข้ารหัสลับ โปรโตคอล 2 ชนิดที่มีความจำเป็นคือ : Authentication Header (AH) Encapsulating Security Payload (ESP)
IPSec Services Access Control ควบคุมการเข้าออก University of Phayao 13/11/2018 IPSec Services Access Control ควบคุมการเข้าออก Connectionless integrity ความสมบูรณ์ของการเชื่อมต่อ Data origin authentication การตรวจสอบแหล่งกำเนิดข้อมูล Rejection of replayed packets การปฏิเสธ packet ที่ตอบกลับ Confidentiality (encryption) การรักษาความลับ (การเข้ารหัส) Limited traffic flow confidentiallity การรักษาความลับใน การจำกัดเส้นทางไหลเวียนของข้อมูล
Authentication Header (AH) University of Phayao 13/11/2018 Authentication Header (AH) (การรับรองความถูกต้องที่ส่วนหัวของ IP packet ) เพิ่มเขตข้อมูลเป็นพิเศษให้กับ IP packet แบบดั้งเดิม ถูกใช้ในการตรวจสอบความถูกต้องและความสมบูรณ์ของแพ็คเก็ต Before applying AH: Transport Mode: รับรองความถูกต้องของข้อมูลรวมทั้งส่วนหัวของ IP Authenticated (Data + parts of IP header) Tunnel Mode: แพ็คเก็ตเดิมทั้งหมดจะถูกรับรองความถูกต้องและมีส่วนหัวใหม่ Authenticated (Data + orig IP header + parts of new header)
Authentication Header University of Phayao 13/11/2018 ให้การสนับสนุนเพื่อความสมบูรณ์ของข้อมูลและรับรองความถูกต้อง (รหัส MAC) ของ IP packets เป็นด่านป้องกันการโจมตี มีการใช้รหัสลับที่เป็น key ร่วมกัน
Encapsulating Security Payload (ESP) University of Phayao 13/11/2018 Encapsulating Security Payload (ESP) เนื้อข้อมูลของแพ็กเก็ต IP ได้รับการเข้ารหัสและห่อหุ้ม ระหว่างเขตข้อมูลส่วนหัวและส่วนหาง เพิ่มการตรวจสอบและรับรองข้อมูล
Authenticated (optionally) Authenticated (optionally) University of Phayao 13/11/2018 Encapsulating Security Payload (ESP) Original IP packet: Transport Mode: เฉพาะตัวข้อมูลที่ถูกเข้ารหัสและการรับรองความถูกต้อง Encrypted Authenticated (optionally) Tunnel Mode: เข้ารหัสและรับรองความถูกต้องที่ตัว packet Encrypted Authenticated (optionally)
ESP Format University of Phayao 13/11/2018
End-to-end versus End-to-Intermediate Authentication University of Phayao 13/11/2018
Encapsulating Security Payload University of Phayao 13/11/2018 ESP provides confidentiality services
Encryption and Authentication Algorithms University of Phayao 13/11/2018 Encryption and Authentication Algorithms Encryption: Three-key triple DES RC5 IDEA Three-key triple IDEA CAST Blowfish Authentication: HMAC-MD5-96 HMAC-SHA-1-96
ESP Encryption and Authentication University of Phayao 13/11/2018
ESP Encryption and Authentication University of Phayao 13/11/2018 ESP Encryption and Authentication
University of Phayao 13/11/2018 Combinations of Security Associations (การใช้งานรักษาความปลอดภัยร่วมกันระหว่างหน่วยงาน)
Combinations of Security Associations University of Phayao 13/11/2018 Combinations of Security Associations
Combinations of Security Associations University of Phayao 13/11/2018 Combinations of Security Associations
Combinations of Security Associations University of Phayao 13/11/2018 Combinations of Security Associations
Key Management มี 2 ชนิด : Manual Automated University of Phayao 13/11/2018 Key Management มี 2 ชนิด : Manual Automated Oakley Key Determination Protocol Internet Security Association and Key Management Protocol (ISAKMP)
Key Management in IPsec University of Phayao 13/11/2018 Key Management in IPsec การสร้างและการกระจายคีย์ลับ Manual ผู้ดูแลระบบจะกำหนดค่าคีย์ (ได้ผลไม่ค่อยดี) Automated Oakley Key Determination Protocol บนพื้นฐานของหลัการของ Diffie-Hellman ISAKMP & IKE – (Internet Security Association and Key Management Protocol & Internet Key Exchange) เป็นการกำหนดให้ใช้ แบบ ISAKMP/Oakley
University of Phayao 13/11/2018 Oakley Key determination protocol, บนพื้นฐาน algorithm ของ Diffie- Hellman รวมกับการป้องกันฯ Secret keys ถูกสร้างขึ้นเมื่อต้องการ การแลกเปลี่ยนคีย์ไม่ต้องมีโครงสร้างที่ที่มีอยู่ก่อน มีเพียงข้อตกลงที่ใช้กัน เท่านั้น ใช้ 3 วิธีในการตรวจสอบ คือ : Digital signatures Public-key encryption Symmetric-key encryption
ISAKMP University of Phayao 13/11/2018
Note on VPN concept Private Network University of Phayao 13/11/2018 Note on VPN concept Private Network เป็นกลุ่มของคอมพิวเตอร์ที่นำมาเชื่อมต่อเข้าด้วยกันและป้องกันจาก Internet (โดยปกติจะมีไฟร์วอลล์เป็นตัวป้องกัน) ทำขึ้นในด้วยแบบ LAN (s) ภายในแต่ละสถานที่ หากต้องการติดต่อ ระยะไกล (เช่น ระหว่างสาขา) การเชื่อมต่อจะทำโดย leased lines
Virtual Private Networks University of Phayao 13/11/2018 Virtual Private Networks (a) A leased-line private network. (b) A virtual private network.
IPv4 Overview มี IP header 20 octets (160 bits) เป็นอย่างน้อย University of Phayao 13/11/2018 IPv4 Overview มี IP header 20 octets (160 bits) เป็นอย่างน้อย ใช้ 32 บิตเป็นที่อยู่ต้นทางและปลายทาง – ซึ่งไม่เพียงพอที่จะรองรับความ ต้องการในทุกวันนี้ ไม่สามารถรองรับความเร็วสูง วิดีโอ และมัลติมีเดีย ได้ดีพอ
University of Phayao 13/11/2018 IPv4 Header
IPv6 Overview เป็น Internet Protocol ที่ใหม่ University of Phayao 13/11/2018 เป็น Internet Protocol ที่ใหม่ ปัจจุบันที่ใช้อยู่เป็น IPv4 อยู่ระหว่างการเปลี่ยนแปลงในการนำมาใช้ สามารถขยาย หรือมี Expands addresses ได้ถึง 128 bits 430,000,000,000,000,000,000 ทุกตารางนิ้ว แก้ปัญหาของ IPv4 ในเรื่อง address ไม่เพียงพอ มีการให้บริการที่มีคุณภาพกว่าแบบเดิม (Quality of Service Typing) มีการกำหนดค่าอัตโนมัติ (Autoconfiguration) มีจำนวน address มากและมีการเปลี่ยนแปลงได้ รองรับมัลติมีเดียความเร็วสูง การรวมข้อมูลจำนวนมากและเทคโนโลยีใหม่ๆ
University of Phayao 13/11/2018 IPv6 Header
University of Phayao 13/11/2018 Thank you