Esempio TCP/IP (2)
14
Reti di calcolatori Modulo 2 - Protocolli di rete TCP/IP Unità didattica 9 – Elementi di sicurezza dei protocolli TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI Lezione 1 – Sicurezza IP
-
Upload
dolan-adkins -
Category
Documents
-
view
40 -
download
0
description
Esempio TCP/IP (2). IPsec. Non è un unico protocollo, ma una serie Fornisce un framework generale che permette a una coppia di entità di comunicazione di usare qualsiasi algoritmo serva per garantire la sicurezza appropriata alla comunicazione Applicazioni: - PowerPoint PPT Presentation
Transcript of Esempio TCP/IP (2)
Reti di calcolatori
Modulo 2 - Protocolli di rete TCP/IP
Unità didattica 9 – Elementi di sicurezza dei protocolli TCP/IP
Ernesto Damiani
Università degli Studi di Milano - SSRI
Lezione 1 – Sicurezza IP
Esempio TCP/IP (2)
IPsec
• Non è un unico protocollo, ma una serie
• Fornisce un framework generale che permette a una coppia di entità di comunicazione di usare qualsiasi algoritmo serva per garantire la sicurezza appropriata alla comunicazione
• Applicazioni:
• Connessione sicura di sottoreti via Internet
• Accesso remoto sicuro via Internet
Sicurezza IP (1)
Vantaggi di IPSec
• È trasparente alle applicazioni
– Posto sotto al livello trasporto (TCP, UDP)
• Mette a disposizione servizi di sicurezza ai singoli utenti
• Può assicurare che– un advertisement di un router o di un dispositivo vicino
arrivi da un router autorizzato
– un messaggio di reindirizzamento provenga dal router a cui è stato inviato il pacchetto iniziale
– un aggiornamento d’instradamento non sia contraffatto
IKE (Internet Key Exchange)
• Usato nel protocollo IPsec per stabilire una SA (Security Association) che autentica i due interlocutori, concorda il metodo di cifratura e scambia una chiave segreta
• Deriva dal framework ISAKMP per lo scambio di chiavi
- RFC4306 Internet Key Exchange (IKEv2) Protocol C. Kaufman, Ed. December 2005 (sostituisceRFC2407, RFC2408, RFC2409)
• Usa cifratura a chiave pubblica per la trasmissione sicura della chiave segreta al destinatario
Servizi IPSec
• Controllo degli accessi
• Integrità
• Autenticazione dell’origine dei dati
• Confidenzialità (cifratura) del flusso di traffico
• Rifiuto dei pacchetti originati da un attacco replay
Associazione di sicurezza
• Una SA (Security Association) è una connessione unidirezionale tra il mittente e il destinatario
• Una SA è identificata da tre parametri:– SPI (Security Parameter Index, Indice dei parametri di
sicurezza )
– Indirizzo IP di destinazione
– Identificatore del protocollo di sicurezza (AH o ESP)
Intestazione di autenticazione (1)
• Fornisce supporto per l’integrità dei dati e l’autenticazione (codice MAC) di pacchetti IP
• Protegge da attacchi di tipo replay
Intestazione di autenticazione (2)
Confronto tra l’autenticazione end-to-end e quella end-to-intermediate
ESP (Encapsulating Security Payload)
• Fornisce servizi di riservatezza
Algoritmi di cifratura e di autenticazione
• Cifratura– Triplo DES a tre chiavi
– RC5
– IDEA
– Triplo IDEA a tre chiavi
– CAST
– Blowfish
• Autenticazione– HMAC-MD5-96
– HMAC-SHA-1-96
Combinazioni di associazioni di sicurezza
FINE
