2003:13 - Karlstads universitet

More documents

Recommendations

Info

Då detta arbete inriktar sig på VPN baserat på enbart IPsec kommer vi här att beskriva protokollen i tunnel mode. I detta läge krypteras både IP-header och payload, till skillnad från transport mode som endast krypterar payload. Det sistnämnda är till för tunnlar som skapas med PPTP eller L2TP över IPsec. 3.3.3.1 Internet Key Exchange Internet Key Exchange (IKE) är ett förhandlingsprotokoll som hanterar autentisering av publika nycklar, genererar den information som behövs för att varje part ska kunna härleda en symmetrisk sessionsnyckel samt förhandlar fram alla säkerhetsparametrar som gäller för det aktuella kommunikationstillfället. Dessa säkerhetsparametrar behöver inte vara desamma från gång till annan, utan bestäms gemensamt av klient och server. Detta beror på vad de kommunicerande parterna kan hantera för säkerhetsinställningar. För att kunna komma överens om en gemensam, symmetrisk sessionsnyckel över ett publikt nät använder sig IKE av ett protokoll som kallas för Diffie-Hellman [14]. 3.3.3.2 Authentication Header AH är ett av de två säkerhetsprotokollen som IPsec hanterar. Protokollet tillhandahåller integritet och autentisering [11]. N y I P - h e a d e r A u t h e n t i c a t i o n H e a d e r A H - h e a d e r U r s p r u n g l i g I P - h e a d e r <strong>13</strong> T C P / U D P - s e g m e n t Figur 3.5: Authentication Header – datagrambeskrivning I AH-headern ligger en message digest, skapad med en hash-algoritm, baserad på hela TCP/UDP-segmentet samt sändar- och mottagaradresserna. Det enda som inte tas med i hash- värdet är de fält som förändras på vägen, såsom ” hop count” och ” fragment offset” . Om något av de statiska värdena ändras kommer inte det hashade värdet att överensstämma med datagrammet, och mottagaren kan se att en förändring har skett. Det felaktiga paketet kastas därmed. Integriteten bevaras i och med detta, och som en positiv biprodukt fås även autentisering, då det hashade värdet måste krypteras. Om kryptering ej sker erhålles heller inte
integritet, då det är lika lätt för en inkräktare som en legitim användare att skapa ett hashvärde när hash-algoritmen är känd. 3.3.3.3 Encapsulation Security Payload ESP är i praktiken allt som AH är, och lite till. ESP har således integritet och autentisering, men även konfidentialitet [12]. Ansatsen är dock lite annorlunda jämfört med AH, då ESP inte signerar den yttersta headern på paketet. Detta innebär att integriteten inte blir lika hög, men möjliggör i stället att ESP kan användas när paketen ska skickas från en klient som använder sig av Network Address Translation (NAT). E n c a p s u l a t i o n S e c u r i t y P a y l o a d N y U r s p r u n g l i g E S P - h e a d e r I P - h e a d e r I P - h e a d e r 14 T C P / U D P - s e g m e n t E S P - t r a i l e r E S P a u t e n t Figur 3.6: Encapsulation Security Payload - datagrambeskrivning Precis som med AH skapas ett hashvärde, men här signeras inte autentiserings-headern och den nya IP-headern. Kryptering sker på den ursprungliga IP-headern, TCP/UDP-segmentet och ESP-trailern. 3.3.3.4 Kryptering med IPsec Det finns tre krypteringsalgoritmer att välja bland för IPsec-kryptering, Data Encryption Standard (DES), Triple DES (3-DES) och Advanced Encryption Standard (AES). DES [6] är en äldre algoritm utvecklad av IBM 1977 för kryptering men håller fortfarande en tillräckligt hög säkerhetsnivå för de flesta användningsområden. Den använder sig av en 56 bitar stark nyckel vid kryptering. Krypteringen sker i 18 steg. Det första steget är en permutation av meddelandet och sedan följer 16 stycken likartade beräkningar, där varje har resultatet av den föregående beräkningen som indata. Avslutningsvis sker ytterligare en permutation. 3-DES [1] är i grund och botten samma algoritm som DES med den skillnaden att DES- krypteringen upprepas tre gånger. Det finns två olika metoder att använda algoritmen, Encryption-Encryption-Encryption (EEE) och Encryption-Decryption-Encryption (EDE).
Page 1: Datavetenskap Johannes Larsson och
Page 5: Denna rapport är skriven som en de
Page 8 and 9: Abstract Virtual Private Network: C
Page 10 and 11: 5 Summering .......................
Page 12 and 13: Figur 4.21: Cisco VPN Client, val a
Page 14 and 15: 1 Inledning Karlstad kommun har i d
Page 16 and 17: symmetrisk kryptering är att om ny
Page 18 and 19: exempel digitala certifikat. Dessa
Page 20 and 21: kraftfulla säkerhetsmekanismer som
Page 22 and 23: Bilden ovan visar översiktligt hur
Page 24 and 25: 3.2.4 Behörighetskontroll Om en kl
Page 28 and 29: EEE-metoden fungerar så att result
Page 30 and 31: 4 Konfigurationsexempel Den hårdva
Page 32 and 33: 4.2.1 Inställningar i koncentrator
Page 34 and 35: att bocka för IPSec Over UDP. I Co
Page 36 and 37: Figur 4.6: Inställningar under Gen
Page 38 and 39: Figur 4.9: Cisco VPN Client, uppkop
Page 40 and 41: Figur 4.12: Certifikatserver, hämt
Page 42 and 43: Tryck sedan på install. Om iställ
Page 44 and 45: att ha valt den manuella metoden m
Page 46 and 47: andra valet är ” Base 64” , de
Page 48 and 49: 4.3.1.8 Installation av identitetsc
Page 50 and 51: Till exempel kan regeln jämföra o
Page 52 and 53: 5 Summering I denna rapport har vi
Page 54: A Förkortningslista 3-DES - Triple

2003:13 - Karlstads universitet

Create successful ePaper yourself

Delete template?

Save as template?