Reti private virtuali (VPN) con tecnologia IPsec

Transcript

1 Reti private virtuali (VPN) con tecnologia IPsec A.A. 2009/2010 Walter Cerroni

2 Reti private Aziende e/o enti di dimensioni medio/grandi in genere hanno necessità di interconnettere in maniera sicura sedi sparse sul territorio e distanti tra loro Soluzione tradizionale: utilizzo di linee dedicate da affittare direttamente presso gli operatori (reti private) soluzione costosa INTERNET DATI IP DATI IP linea dedicata DATI IP LAN 1 LAN 2 2

3 Reti private virtuali Alternativa più economica: utilizzo di connessioni virtuali attraverso reti pubbliche (reti private virtuali - VPN) flussi di pacchetti distinti tramite particolari etichette trasmessi attraverso reti pubbliche diversi protocolli disponibili (IPsec, ATM, MPLS, VLAN, ) DATI IP LABEL DATI IP LAN 3 DATI IP DATI IP DATI IP LABEL LAN 1 LAN 2 INTERNET 3

4 Sniffing e spoofing Esistono software (sniffer) usati per intercettare i dati in transito sulla rete (decodificando i protocolli) è possibile entrare in possesso di informazioni riservate trasmesse in chiaro (come le password) compromettendo la sicurezza degli host e la validità delle procedure di autenticazione sono necessarie tecniche di crittografia dei dati sensibili Alcuni meccanismi di autenticazione si basano solo sull indirizzo IP o MAC del terminale è possibile forgiare datagrammi IP o trame MAC contenti un falso indirizzo sorgente (spoofing) chi attacca riesce ad autenticarsi e ad eseguire applicazioni di rete e/o causare invio di dati non autorizzati le risposte potrebbero non tornare indietro, ma tramite sniffer si possono intercettare e leggere i dati trasmessi (se interessano) sono necessarie tecniche avanzate di autenticazione 4

5 Crittografia a chiave segreta (simmetrica) La chiave K è la stessa per cifrare e decifrare il testo e deve essere nota contemporaneamente a chi invia e a chi riceve il messaggio E(P,K) = C Testo Cifrato C D(C,K) = P Le funzioni di cifratura e decifrazione sono una l inversa dell altra: D( E(P,K), K ) = P E( D(C,K), K ) = C 5

6 Algoritmi simmetrici e gestione della chiave Lo scambio di informazioni cifrate può avvenire solo fra utenti a conoscenza della chiave Scelta la chiave, un utente deve inviarla a chiunque debba comunicare con lui in modo sicuro questa procedura è un potenziale punto debole del sistema di sicurezza L uso della stessa chiave nel lungo termine potrebbe portare alla sua rivelazione 6

7 Crittografia a chiave pubblica (asimmetrica) Si usano due chiavi K 1 e K 2, una usata per cifrare l altra per decifrare: E(P,K 1 ) = C D(C,K 2 ) = P Testo Cifrato C La chiave di cifratura K 1 è resa nota (chiave pubblica) La chiave di decifrazione K 2 è segreta (chiave privata) E praticamente impossibile dedurre K 2 da K 1 Naturalmente deve valere D( E(P,K 1 ), K 2 ) = P 7

8 Crittografia a chiave pubblica: utilizzo I sistemi a chiave pubblica possono essere utilizzati per assicurare la riservatezza del dialogo Utente A conosce la chiave pubblica di cifratura di Utente B K 1B Utente A cifra il messaggio ed invia E(P,K 1B ) = C Utente B riceve C e lo decifra con la chiave privata di decifrazione K 2B nota solo a se stesso: D(C,K 2B ) = P un ascoltatore non autorizzato non può decifrare i dati in quanto non conosce K 2B autenticare il contenuto di un messaggio e garantirne la paternità si suppone che E( D(P,K 2 ), K 1 ) = P Utente A cifra il messaggio con la sua chiave privata e poi lo invia ad Utente B: D(P,K 2A ) = C Utente B riceve C e lo decifra con la chiave pubblica di Utente A, ottenendo E( D(P,K 2A ), K 1A ) = P solo Utente A può aver generato il messaggio D(P,K 2A ) 8

9 Crittografia a chiave pubblica: utilizzo 9

10 Algoritmo a chiave pubblica: RSA L algoritmo più noto è conosciuto con l acronimo RSA da Rivest, Shamir, Adleman (1978) Le funzioni per cifrare e decifrare sono le stesse, cambia solamente la chiave Si utilizzano proprietà matematiche legate ai numeri primi la chiave privata e la chiave pubblica sono funzione di numeri primi grandi (tipicamente rappresentati con 1024 bit) se si moltiplicano tra loro due numeri primi grandi, la scomposizione in fattori primi del prodotto di tali numeri è un problema computazionalmente molto complesso la difficoltà nella definizione delle chiavi è la ricerca dei due numeri primi grandi, che richiede un notevole sforzo computazionale (ma va eseguito una tantum) 10

11 Scomposizione in fattori primi 5 = = = = = =? 11

12 Crittografia a chiave pubblica: caratteristiche Per poter avviare una comunicazione sicura fra utenti non è necessaria alcuna transazione privata La chiave pubblica può essere pubblicata in un apposito elenco oppure semplicemente inviata all inizio della comunicazione Tale tecnica ha un costo computazionale molto superiore a quello degli algoritmi simmetrici si può usare per negoziare in modo sicuro una chiave simmetrica più semplice da calcolare La crittografia a chiave pubblica permette anche di garantire l integrità delle informazioni trasmesse si introduce il concetto di firma elettronica 12

13 Firma elettronica Come per la firma tradizionale, si deve garantire che la firma sia autentica la firma non sia falsificabile il documento firmato non sia alterabile la firma non sia riusabile in un altro documento la firma non possa essere disconosciuta Deve essere quindi dipendente dall identità del firmatario l uso di un meccanismo a chiave pubblica permette l autenticazione e garantisce la paternità dipendente dal messaggio si cifra un sunto del messaggio ottenuto tramite una funzione hash se si modifica il messaggio il sunto risulta diverso algoritmi usati: MD5, SHA 13

14 Firma elettronica Per il destinatario non è possibile modificare il messaggio alla ricezione sostenendone l autenticità Per il mittente non è possibile ripudiare la paternità di un messaggio modificare il messaggio dopo averlo inviato e sostenerne l autenticità 14

15 Autenticità delle chiavi L elenco delle chiavi pubbliche è un potenziale punto debole per la sicurezza del sistema Esiste il problema della autenticità delle chiavi pubbliche un utente può in malafede pubblicare una chiave a nome di un altro ed utilizzarla per sostituirsi a lui Si ricorre a terze parti, dette Certification Authority, che garantiscono l integrità e l autenticità dell elenco delle chiavi pubbliche (racc. ITU X.509) la Certification Authority deve essere al di sopra di ogni sospetto, compatibilmente con il livello di sicurezza desiderato la Certification Authority genera un certificato, contenente l identità e la chiave pubblica dell utente, e lo firma con la propria chiave privata qualunque altro utente può verificare che il certificato sia stato effettivamente firmato dall Authority 15

16 Formato standard dei certificati (X.509) 16

17 Reti private virtuali sicure Spesso si preferisce rendere i collegamenti tramite VPN sicuri autenticazione dei terminali agli estremi della VPN cifratura del contenuto dei pacchetti trasmessi sulla VPN controllo dell integrità delle informazioni trasmesse sulla VPN Diversi protocolli disponibili livello data-link: PPTP, L2TP livello network: IPsec livello transport: SSL/TLS 17

18 L architettura IPsec (RFC 2401) Realizza VPN sicure a livello network attraverso l uso di tre protocolli IKE (Internet Key Exchange): serve per autenticare l interlocutore e per negoziare ed aggiornare gli algoritmi e le chiavi di crittografia/autenticazione da utilizzare nei dati da trasmettere in VPN (porta UDP sorgente e destinazione = 500) AH (Authentication Header) (campo protocol = 51): fornisce l autenticazione dei pacchetti trasmessi in VPN garantendo integrità ed autenticità dei dati identità del mittente ESP (Encapsulating Security Payload) (campo protocol = 50): oltre a fornire autenticazione come in AH, garantisce anche la riservatezza delle informazioni tramite crittografia utilizzati in modalità trasporto o tunnel 18

19 Funzionamento di base di IKE Fase 1 Negoziazione preliminare uno dei due terminali VPN (initiator) tenta di contattare l altro i due terminali si accordano sui parametri di sicurezza da usare in questa fase i due terminali si autenticano reciprocamente tramite chiave segreta precondivisa rispettive chiavi pubbliche Fase 2 Negoziazione della connessione i due terminali VPN si accordano sui parametri di sicurezza e sulla modalità di comunicazione si generano e si rinnovano le chiavi di sessione (a scadenza) da utilizzare per la cifratura e l autenticazione della comunicazione 19

20 IPsec: ESP in modalità trasporto autenticazione terminali VPN DATI IP IKE TRAILER DATI cifratura HEADER aggiorna header IP?????????? HEADER autenticazione AUTH?????????? HEADER IP 20

21 IPsec: ESP in modalità tunnel genera header IP autenticazione terminali VPN DATI IP IKE TRAILER DATI IP HEADER cifratura???????????? HEADER autenticazione AUTH???????????? HEADER IP 21

22 Reti private IP LEFTSUBNET RIGHTSUBNET INTERNET DATI IP DATI IP linea dedicata DATI IP LAN 1 LAN 2 LEFT RIGHT 22

23 Reti private virtuali IPsec ESP in modalità trasporto DATI IP INTERNET DATI IP DATI IP LAN 1 LAN 2 LEFT RIGHT AUTH?????????? HEADER IP ESP in modalità tunnel DATI IP INTERNET DATI IP DATI IP LAN 1 LAN 2 LEFT RIGHT AUTH???????????? HEADER IP 23

24 Tipologie di connessione a VPN IPsec NET-TO-NET DATI IP INTERNET DATI IP LAN 1 LAN 2 LEFT IP statici HOST-TO-NET RIGHT INTERNET LEFT RIGHT DATI IP LAN 2 IP statici 24

25 Tipologie di connessione a VPN IPsec HOST-TO-HOST INTERNET LEFT IP statici RIGHT ROADWARRIOR INTERNET LEFT RIGHT DATI IP LAN 2 IP dinamico IP statico 25

26 Problemi nell attraversamento di NAT La negoziazione IKE potrebbe non andare a buon fine, perché i pacchetti inviati da LEFT arrivano a RIGHT con un indirizzo IP diverso da quello atteso Il NAPT potrebbe cambiare la porta UDP sorgente di LEFT, mentre RIGHT potrebbe rifiutare traffico IKE da porte UDP 500 La scadenza della tabella NAT potrebbe avvenire durante un periodo di silenzio, interrompendo così la connessione sicura Il NAPT non riesce a distinguere pacchetti ESP appartenenti a connessioni IPsec provenienti da LEFT diversi (ESP non usa porte) Nella modalità trasporto, la modifica di un indirizzo IP richiederebbe di aggiornare il checksum TCP o UDP (che fa uso di pseudo-header IP), ma questa è cifrata all interno del payload IP INTERNET LEFT NAT RIGHT LAN 26

27 Soluzione: IPsec con NAT-Traversal Soluzione da applicare ai peer IPsec non si ha controllo sul NAT I problemi dovuti alla presenza di NAT vengono risolti con: verifica della capacità dei peer di eseguire NAT-Traversal verifica della presenza di NAT tra LEFT e RIGHT (NAT-Discovery) notifica esplicita degli indirizzi IP originali possibilità per IKE di utilizzare porte UDP diverse dalla 500 invio periodico di pacchetti NAT-Keepalive per mantenere attive le connessioni sicure nelle tabelle NAT incapsulamento di ESP in UDP, utilizzando le stesse porte di IKE Il NAPT riesce così a distinguere connessioni diverse AUTH???????????? HEADER UDP IP 27

28 IPsec su Linux: Openswan Software open source ( deriva dal progetto originario FreeS/Wan contiene patch per il NAT-Traversal e per l autenticazione tramite certificati (interoperabilità con client Windows) Costituito da due elementi principali KLIPS implementa i protocolli ESP ed AH a livello di kernel è necessario per i kernel 2.2 e 2.4 il kernel 2.6 implementa già funzionalità IPsec PLUTO demone che implementa il protocollo IKE 28

29 Autenticazione a chiave pubblica (RSA) Occorre creare una coppia di chiavi RSA e memorizzarla nel file /etc/ipsec.secrets ipsec newhostkey bits <n_bit> output /etc/ipsec.secrets <n_bit> indica la dimensione della chiave in numero di bit (deve essere maggiore di 512) Nel file /etc/ipsec.conf andranno inserite le chiavi pubbliche dei due terminali VPN chiave di un host visualizzabile tramite ipsec showhostkey left sul terminale LEFT ipsec showhostkey right sul terminale RIGHT 29

30 Configurazione Openswan File /etc/ipsec.conf config setup klipsdebug=none plutodebug=all configurazione generale # Add connections here conn net-to-net mantenere l indentazione!!! configurazione delle singole connessioni conn host-to-net 30

31 Connessione Openswan NET-TO-NET File /etc/ipsec.conf (stesso file su entrambi i terminali VPN) conn net-to-net left= leftsubnet= /16 leftnexthop= right= rightsubnet= /16 rightnexthop= auto=add authby=rsasig leftrsasigkey=0saqpll7oz rightrsasigkey=0saqnbvjo2 nome della connessione tra due sottoreti private parametri dei due terminali LEFT e RIGHT e relative sottoreti private modalità di attivazione della connessione modalità di autenticazione della connessione e relative chiavi 31

32 Connessione Openswan HOST-TO-NET File /etc/ipsec.conf (stesso file su entrambi i terminali VPN) conn host-to-net left= leftnexthop= right= rightsubnet= /16 rightnexthop= auto=add authby=rsasig leftrsasigkey=0saqpll7oz rightrsasigkey=0saqnbvjo2 nome della connessione tra un host e una sottorete privata parametri dei due terminali LEFT (host singolo con IP statico) e RIGHT (sottorete privata) 32

33 Connessione Openswan ROADWARRIOR conn roadwarrior left= leftsubnet= /16 leftnexthop= right=%any File /etc/ipsec.conf del terminale LEFT con IP statico e sottorete privata conn roadwarrior left=%any right= rightsubnet= /16 rightnexthop= File /etc/ipsec.conf del terminale mobile RIGHT con IP dinamico 33

34 NAT-Traversal con Openswan (NET-TO-NET) File /etc/ipsec.conf sul terminale LEFT (interno al NAT) config setup nat_traversal=yes conn net-to-net left= leftsubnet= /16 leftnexthop= right= rightsubnet= /16 rightnexthop= abilitazione del NAT-Traversal nella configurazione generale identificativi dei due peer da usare in fase di negoziazione IKE al posto degli indirizzi IP 34

35 NAT-Traversal con Openswan (NET-TO-NET) File /etc/ipsec.conf sul terminale RIGHT (esterno al NAT) config setup nat_traversal=yes conn net-to-net left=%any leftsubnet= /16 leftnexthop= right= rightsubnet= /16 rightnexthop= abilitazione del NAT-Traversal nella configurazione generale può essere sostituito con l indirizzo pubblico del NAT, se lo si conosce identificativi dei due peer da usare in fase di negoziazione IKE al posto degli indirizzi IP 35

36 NAT-Traversal con Openswan (HOST-TO-NET) File /etc/ipsec.conf sul terminale LEFT (interno al NAT) config setup nat_traversal=yes si omette leftsubnet conn net-to-net left= leftnexthop= right= rightsubnet= /16 rightnexthop=

37 NAT-Traversal con Openswan (HOST-TO-NET) File /etc/ipsec.conf sul terminale RIGHT (esterno al NAT) config setup nat_traversal=yes conn net-to-net left=%any leftsubnetwithin= /24 leftnexthop= right= rightsubnet= /16 rightnexthop= occorre specificare la sottorete privata a cui appartiene LEFT, oppure /0 per accettare qualsiasi rete 37

38 Apertura di un tunnel IPsec Attivazione demone IPsec /etc/init.d/ipsec start Apertura di una connessione specificata in /etc/ipsec.conf ipsec auto up <nome_connessione> Chiusura di una connessione specificata in /etc/ipsec.conf ipsec auto down <nome_connessione> Verifica dello stato delle connessioni IPsec ipsec auto status 38

39 Case study: configurazione tunnel IPsec /24 INTERNET LAN / / / / / /24 LAN 1: SERVER LAN 2: HOST 39

40 Case study: configurazione tunnel IPsec Traceroute da LAN 2 a LAN 3 prima di aprire il tunnel IPsec: traceroute n n

41 Case study: configurazione tunnel IPsec conn LAN1-to-LAN3 left= leftsubnet= /24 leftnexthop= right= rightsubnet= /24 rightnexthop=

42 Case study: configurazione tunnel IPsec conn LAN2-to-LAN3 left= leftsubnet= /24 leftnexthop= right= rightsubnet= /24 rightnexthop=

43 Case study: configurazione tunnel IPsec Traceroute da LAN 2 a LAN 3 dopo aver aperto il tunnel: traceroute

44 Esercitazioni in laboratorio 1. Generare due coppie di chiavi RSA, una da 512 bit, l altra da 2048, tramite il comando messo a disposizione da ipsec utilizzando come output due file a piacere. Confrontare la differenza nel tempo di generazione delle due coppie e verificare il contenuto e i permessi dei due file generati. 2. Realizzare una VPN IPsec tra due sottoreti IP e verificarne la connettività tramite ping. Verificare tramite sniffer che il traffico tra i due peer è cifrato x/ y/ /24 44

45 Esercitazioni in laboratorio 3. Realizzare una VPN IPsec tra un host e una rete IP attraverso un router. Verificare tramite sniffer che il traffico tra i due peer è cifrato e analizzare il comportamento di traceroute rispetto al caso di assenza di VPN x/ y/ /24 4. Realizzare una VPN IPsec tra un host e una rete IP attraverso un NAT e verificare tramite sniffer cosa accade x/ y/30 NAT /24 45