Network Security Chapter 4 IP Security

งานนำเสนอเรื่อง: "Network Security Chapter 4 IP Security"— ใบสำเนางานนำเสนอ:

1 Network Security Chapter 4 IP Security
Slides by H. Johnson & S. Malladi- Modified & Translated by Sukchatri P.

2 Outline Need for Internet Security
University of Phayao 13/11/2018 Outline Need for Internet Security Internetworking and Internet Protocols Security Overview IP Security Architecture Authentication Header Encapsulating Security Payload Combinations of Security Associations Key Management

3 Need for Internet Security
University of Phayao 13/11/2018 Need for Internet Security ด้วยข้อกำหนดที่มาจากมาตราฐาน public-domain standards พวกบุกรุกทั้งหลาย(intruders) รู้ดีกว่าจะต้องทำสิ่งใด Internet เป็นที่แพร่หลายมากขึ้นตลอดเวลา ไม่ต้องใช้เครื่องมือเป็นพิเศษที่จะเข้าถึงระบบได้ โปรแกรมต่างๆ ได้ใช้กันแพร่หลาย (e.g. web servers and browsers) ในปัจจุบันมีการใช้งานมากขึ้นกว่าเดิม จุดอ่อนหรือข้อเสียของ TCP/IP เช่น ง่ายต่อการปลอมแปลงหรือสวมบทบาทเป็นคนอื่น

4 ทำไมต้องการรักษาความปลอดภัยที่ชั้น IP? (Why secure at the IP layer?)
University of Phayao 13/11/2018 ทำไมต้องการรักษาความปลอดภัยที่ชั้น IP? (Why secure at the IP layer?) มันสามารถป้องกันฯพร้อมๆกันได้และใช้ได้กับหลายๆ โปรแกรม ทุก applications ถูกป้องกันฯได้โดยไม่จำเป็นต้องให้ผู้ใช้มีส่วนร่วม การจัดการที่ส่วนกลางของการรักษาความปลอดภัย รวมถึงการกำหนด นโยบาย การกำหนด keys การและ algorithms และอื่น ๆ

5 Independent of Applications and Transport
University of Phayao 13/11/2018 Independent of Applications and Transport Diverse Apps Web Game DB queries FTP SNMP IM TCP UDP Other Transport Secured IP

6 University of Phayao 13/11/2018 Internet Protocols Internet Protocol (IP) จะมีหน้าที่สำหรับการเชื่อมต่อถึงกัน ผ่านทางระบบเครือข่ายไปยังหลายๆเครือข่าย IPv4 และ IPv6 Routers มีหน้าที่ให้การเชื่อมต่อระหว่างเครือข่าย ข้อมูลจะถูกห่อหุ้มใน IP Protocol Data Unit (PDU) สำหรับการส่ง

7 การใช้ประโยชน์จาก IPsec
University of Phayao 13/11/2018 การใช้ประโยชน์จาก IPsec การกำหนดใช้ Virtual Private Network (VPN) สำหรับการเชื่อมต่อสำนักงานและผู้ใช้ระยะไกลโดยใช้อินเทอร์เน็ต สาธารณะ การเข้าถึงระยะไกลมีต้นทุนต่ำ (Low-cost remote access ) เช่น ผู้ใช้สามารถได้รับการรักษาความปลอดภัยในการเข้าใช้งานเครือข่าย โดยผ่านผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider : ISP ) การเชื่อมต่อทราเน็ต (Extranet connectivity) การมีการสื่อสารที่ปลอดภัยกับคู่สาขาหน่วยงานต่างๆ

8 OSI Model (7 Layer) University of Phayao 13/11/2018 7 Application : HTTP, SMTP, SNMP, FTP, Telnet, SIP, SSH, NFS, Whois 6 Presentation : XDR, ASN.1, SMB, AFP, NCP 5 Session : ASAP, TLS, SSH, ISO 8327 / CCITT X.225, RPC, NetBIOS, ASP, Winsock, BSD sockets 4 Transport : TCP, UDP, RTP, SCTP, SPX, ATP, IL 3 Network : IP, ICMP, IPX, BGP, OSPF, RIP, ARP, X.25 2 Data Link : Ethernet, Token ring, HDLC, Frame relay, ISDN, ATM, WiFi, FDDI, PPP 1Physical : wire, radio, fiber optic

9 Internet Protocol Model (5 Layer)
University of Phayao 13/11/2018 Internet Protocol Model (5 Layer) 5. Application 4. Transport TCP, UDP 3. Internet IP Logical Link Control (LLC) Media Access Control (MAC) 2. Network Interface (like Data Link) 1. Physical

10 TCP/IP Example University of Phayao 13/11/2018

11 University of Phayao 13/11/2018 IP Security Overview Application–กำหนดกลไกเฉพาะให้กับโปรแกรมในการใช้งานต่างๆ (S/MIME, PGP) Client-server (Kerberos) Web Access ( Secure sockets) IP level security (IPSec) ระดับการรักษาความปลอดภัยในชั้น IP Authentication (การรับรอง : ข้อมูลที่ไม่มีการเปลี่ยนแปลงจากแหล่งที่ส่งมา) Confidentiality (ความลับ/ความเชื่อถือ : ต้องมีการเข้ารหัสเพื่อป้องกันการดักจับ หรือแอบฟังข้อมูล) Key Management (การจัดการรหัส key : ความปลอดภัยของการแลกเปลี่ยนคีย์ )

12 University of Phayao 13/11/2018 IP Security Overview IPSec ไม่ใช่โพรโทคอเดียว แต่ IPSec เป็นกลุ่มของ algorithm ร่วมกับองค์ประกอบทั่วไปอื่นๆ ที่ทำงาน ควบคู่กันไปในการติดต่อสื่อสารระหว่างสองแห่ง โดย ใช้ algorithm ที่ให้ความปลอดภัยที่เหมาะสมในการ สื่อสาร

13 IP Security Overview การประยุกต์ใช้ IPSec
University of Phayao 13/11/2018 IP Security Overview การประยุกต์ใช้ IPSec มีการรักษาความปลอดภัยในการเชื่อมต่อหน่วยงานสาขาผ่านทาง อินเทอร์เน็ต มีการรักษาความปลอดภัยการเข้าถึงระยะไกลผ่านทางอินเทอร์เน็ต มีการติดตั้งหรือใช้งานเครือข่ายแบบ Extranet และ Intranet มีการเพิ่มการรักษาความปลอดภัยให้กับธุรกรรมที่ทำผ่านทาง เครือข่าย

14 University of Phayao 13/11/2018 IP Security Scenario

15 IP Security Overview ประโยชน์ของ IPSec
University of Phayao 13/11/2018 IP Security Overview ประโยชน์ของ IPSec ง่ายต่อการประยุกต์ใช้ (ในระดับที่ต่ำกว่าชั้น transport layer (TCP, UDP) ให้ความปลอดภัยสำหรับผู้ใช้แต่ละราย IPSec สามารถรับประกันว่า : มีการส่งมาจากการกำหนดทิศทางของ router ที่มาจากแหล่งที่ ถูกต้อง การเปลี่ยนเส้นทางของข้อความมาจากการกำหนดทิศทางที่มาจาก แหล่งกำเนิดของ packet นั้นๆ การกำหนดเส้นทางไม่ได้มีการปั้นแต่งขึ้น

16 IPsec Architecture มี 2 ทางเลือกคือ โปรโตคอลแบบ :
University of Phayao 13/11/2018 IPsec Architecture มี 2 ทางเลือกคือ โปรโตคอลแบบ : Authentication Header (AH) ให้การรับรองความถูกต้อง แต่ไม่เป็นความลับหรือเชื่อถือ Adds extra field to traditional IP packet; used to verify authenticity of the packet เพิ่มเขตข้อมูลเป็นพิเศษจาก IP packet เดิม เพื่อใช้ในการตรวจสอบความถูกต้อง ของแพ็กเก็ต Encapsulating Security Payload (ESP) มีการเข้ารหัสแพ็กเก็ต เป็นส่วนเสริมและรับรองความถูกต้อง ในส่วนเนื้อข้อมูลของ IP packet ได้รับการเข้ารหัสและห่อหุ้มข้อมูลด้วยส่วนหัว และส่วนท้าย

17 IPSec Document Overview
University of Phayao 13/11/2018

18 IPSec Services โปรโตคอล 2 ชนิดที่มีความจำเป็นคือ :
University of Phayao 13/11/2018 IPSec Services IPSec ให้บริการด้านการรักษาความปลอดภัยที่ชั้น IP โดยการเลือกโปรโตคอล แล้วกำหนด algorithm ที่จะใช้ รวมถึงการใส่ตำแหน่งคีย์ในการเข้ารหัสลับ โปรโตคอล 2 ชนิดที่มีความจำเป็นคือ : Authentication Header (AH) Encapsulating Security Payload (ESP)

19 IPSec Services Access Control ควบคุมการเข้าออก
University of Phayao 13/11/2018 IPSec Services Access Control ควบคุมการเข้าออก Connectionless integrity ความสมบูรณ์ของการเชื่อมต่อ Data origin authentication การตรวจสอบแหล่งกำเนิดข้อมูล Rejection of replayed packets การปฏิเสธ packet ที่ตอบกลับ Confidentiality (encryption) การรักษาความลับ (การเข้ารหัส) Limited traffic flow confidentiallity การรักษาความลับใน การจำกัดเส้นทางไหลเวียนของข้อมูล

20 Authentication Header (AH)
University of Phayao 13/11/2018 Authentication Header (AH) (การรับรองความถูกต้องที่ส่วนหัวของ IP packet ) เพิ่มเขตข้อมูลเป็นพิเศษให้กับ IP packet แบบดั้งเดิม ถูกใช้ในการตรวจสอบความถูกต้องและความสมบูรณ์ของแพ็คเก็ต Before applying AH: Transport Mode: รับรองความถูกต้องของข้อมูลรวมทั้งส่วนหัวของ IP Authenticated (Data + parts of IP header) Tunnel Mode: แพ็คเก็ตเดิมทั้งหมดจะถูกรับรองความถูกต้องและมีส่วนหัวใหม่ Authenticated (Data + orig IP header + parts of new header)

21 Authentication Header
University of Phayao 13/11/2018 ให้การสนับสนุนเพื่อความสมบูรณ์ของข้อมูลและรับรองความถูกต้อง (รหัส MAC) ของ IP packets เป็นด่านป้องกันการโจมตี มีการใช้รหัสลับที่เป็น key ร่วมกัน

22 Encapsulating Security Payload (ESP)
University of Phayao 13/11/2018 Encapsulating Security Payload (ESP) เนื้อข้อมูลของแพ็กเก็ต IP ได้รับการเข้ารหัสและห่อหุ้ม ระหว่างเขตข้อมูลส่วนหัวและส่วนหาง เพิ่มการตรวจสอบและรับรองข้อมูล

23 Authenticated (optionally) Authenticated (optionally)
University of Phayao 13/11/2018 Encapsulating Security Payload (ESP) Original IP packet: Transport Mode: เฉพาะตัวข้อมูลที่ถูกเข้ารหัสและการรับรองความถูกต้อง Encrypted Authenticated (optionally) Tunnel Mode: เข้ารหัสและรับรองความถูกต้องที่ตัว packet Encrypted Authenticated (optionally)

24 ESP Format University of Phayao 13/11/2018

25 End-to-end versus End-to-Intermediate Authentication
University of Phayao 13/11/2018

26 Encapsulating Security Payload
University of Phayao 13/11/2018 ESP provides confidentiality services

27 Encryption and Authentication Algorithms
University of Phayao 13/11/2018 Encryption and Authentication Algorithms Encryption: Three-key triple DES RC5 IDEA Three-key triple IDEA CAST Blowfish Authentication: HMAC-MD5-96 HMAC-SHA-1-96

28 ESP Encryption and Authentication
University of Phayao 13/11/2018

29 ESP Encryption and Authentication
University of Phayao 13/11/2018 ESP Encryption and Authentication

30 University of Phayao 13/11/2018 Combinations of Security Associations (การใช้งานรักษาความปลอดภัยร่วมกันระหว่างหน่วยงาน)

31 Combinations of Security Associations
University of Phayao 13/11/2018 Combinations of Security Associations

32 Combinations of Security Associations
University of Phayao 13/11/2018 Combinations of Security Associations

33 Combinations of Security Associations
University of Phayao 13/11/2018 Combinations of Security Associations

34 Key Management มี 2 ชนิด : Manual Automated
University of Phayao 13/11/2018 Key Management มี 2 ชนิด : Manual Automated Oakley Key Determination Protocol Internet Security Association and Key Management Protocol (ISAKMP)

35 Key Management in IPsec
University of Phayao 13/11/2018 Key Management in IPsec การสร้างและการกระจายคีย์ลับ Manual ผู้ดูแลระบบจะกำหนดค่าคีย์ (ได้ผลไม่ค่อยดี) Automated Oakley Key Determination Protocol บนพื้นฐานของหลัการของ Diffie-Hellman ISAKMP & IKE – (Internet Security Association and Key Management Protocol & Internet Key Exchange) เป็นการกำหนดให้ใช้ แบบ ISAKMP/Oakley

36 University of Phayao 13/11/2018 Oakley Key determination protocol, บนพื้นฐาน algorithm ของ Diffie- Hellman รวมกับการป้องกันฯ Secret keys ถูกสร้างขึ้นเมื่อต้องการ การแลกเปลี่ยนคีย์ไม่ต้องมีโครงสร้างที่ที่มีอยู่ก่อน มีเพียงข้อตกลงที่ใช้กัน เท่านั้น ใช้ 3 วิธีในการตรวจสอบ คือ : Digital signatures Public-key encryption Symmetric-key encryption

37 ISAKMP University of Phayao 13/11/2018

38 Note on VPN concept Private Network
University of Phayao 13/11/2018 Note on VPN concept Private Network เป็นกลุ่มของคอมพิวเตอร์ที่นำมาเชื่อมต่อเข้าด้วยกันและป้องกันจาก Internet (โดยปกติจะมีไฟร์วอลล์เป็นตัวป้องกัน) ทำขึ้นในด้วยแบบ LAN (s) ภายในแต่ละสถานที่ หากต้องการติดต่อ ระยะไกล (เช่น ระหว่างสาขา) การเชื่อมต่อจะทำโดย leased lines

39 Virtual Private Networks
University of Phayao 13/11/2018 Virtual Private Networks (a) A leased-line private network (b) A virtual private network.

40 IPv4 Overview มี IP header 20 octets (160 bits) เป็นอย่างน้อย
University of Phayao 13/11/2018 IPv4 Overview มี IP header 20 octets (160 bits) เป็นอย่างน้อย ใช้ 32 บิตเป็นที่อยู่ต้นทางและปลายทาง – ซึ่งไม่เพียงพอที่จะรองรับความ ต้องการในทุกวันนี้ ไม่สามารถรองรับความเร็วสูง วิดีโอ และมัลติมีเดีย ได้ดีพอ

41 University of Phayao 13/11/2018 IPv4 Header

42 IPv6 Overview เป็น Internet Protocol ที่ใหม่
University of Phayao 13/11/2018 เป็น Internet Protocol ที่ใหม่ ปัจจุบันที่ใช้อยู่เป็น IPv4 อยู่ระหว่างการเปลี่ยนแปลงในการนำมาใช้ สามารถขยาย หรือมี Expands addresses ได้ถึง 128 bits 430,000,000,000,000,000,000 ทุกตารางนิ้ว แก้ปัญหาของ IPv4 ในเรื่อง address ไม่เพียงพอ มีการให้บริการที่มีคุณภาพกว่าแบบเดิม (Quality of Service Typing) มีการกำหนดค่าอัตโนมัติ (Autoconfiguration) มีจำนวน address มากและมีการเปลี่ยนแปลงได้ รองรับมัลติมีเดียความเร็วสูง การรวมข้อมูลจำนวนมากและเทคโนโลยีใหม่ๆ

43 University of Phayao 13/11/2018 IPv6 Header

44 University of Phayao 13/11/2018 Thank you