Secure socket layer (SSL) Transport layer security (TLS)

Транскрипт

1 Servizi Sicuri per le comunicazioni in rete Secure socket layer (SSL) Transport layer security (TLS) Applicaz. TTP TCP Applicaz. TTP SSL/TLS TCP SSL: Netscape TLS:RFC 2246 Applicaz. TTPS TCP andshake Change cipherspec Alert Record TCP TTP

2 Sessione e Connessione client server La sessione è un'associazione logica tra Cliente e Server. Una sessione viene creata dal protocollo di andshake e definisce un insieme di parametri crittografici che possono essere condivisi fra molteplici connessioni. La sessione evita la costosa rinegoziazione dei parametri di sicurezza per ciascuna connessione Sessione e Connessione

3 Sessione e Connessione I protocolli andshake, Change e Record client client_hello server_hello certificate server Protocollo andshake, Fase 1: selezione dei meccanismi per la riservatezza, per la autenticazione e per l accordo sul segreto server_key_exchange certificate_request Protocollo andshake, Fase 2 : autenticazione del server e invio di chiavi server_hello_done certificate client_key_exchange certificate_verify Protocollo andshake, Fase 3 : autenticazione del client e accordo sul segreto change_cipher_spec finished change_cipher_spec finished Segreto condiviso Protocollo anshake, Fase 4 (Change) controllo di tutti i dati scambiati dati dati Chiavi installate Protocollo Record: scambio sicuro dei dati

4 I Messaggi ello In questa fase il client ed il server si dicono cosa sanno fare ed il client autentica il serve Messaggio client_hello e server_hello Versione di SSL Random: timestamp (32 bit) + random byte[28]; client e server generano quantità random diverse ID di sessione: in base al valore (1) viene creata una nuova sessione, (2) viene creata una connessione in una sessioneesistente (3) vengono rinegoziati i parametri di una sessione esistente Suite di cifratura (Cipher suite) specifica la lista degli algoritmi di cifratura supportati dal cliente in ordine di gradimento; il server sceglie Metodo di compressione: lista dei metodi di compressione supportati dal client; il server sceglie L accordo sul segreto (andshake 2&3): anonymous Diffie-ellman client_hello: R C server_hello: R S Prevenzione di attacchi di replay n,g n,g RNG esp esp RNG n esp server_key_exchange client_key_exchange pre_master_secret esp n R C, R S R C, R S master_secret (48 byte)

5 L accordo sul segreto (andshake 2&3): fixed Diffie-ellman p,x C p,g,y C firma CA p,g,y S firma CA esp certificate certificate esp p,x S pre_master_secret R C, R S R C, R S master_secret L accordo sul segreto (andshake 2&3): ephemeral Diffie-ellman k[pubc] firma CA certificate k[pubs] firma CA n,g k[privc] k[privs] n,g RNG esp S S esp RNG k[pubs] k[pubc] server/client_key_exchange n esp V pre_master_secret V esp n R C, R S R C, R S master_secret

6 L accordo sul segreto (andshake 2&3): cifratura asimmetrica k[pubs] k[pubs] firma CA RNG RSA client_key_exchange k[privs] pre_master_secret RSA R C, R S R C, R S master_secret La verifica del segreto e la generazione delle chiavi change_cipher_spec Tutti i dati scambiati master_secret (48 B) finished change_cipher_spec finished Tutti i dati scambiati master_secret funzione pseudocasuale funzione pseudocasuale TX RX RX TX

7 Dati TTP frag. andshake Dati TTP defrag. Alert Z tipo lung. n seq. segretor Z -1 MAC SI/NO CFR MAC MAC segretot Record: autenticazione tipo lung. n seq. = E k TCP IVT ks T int. Record: riservatezza k s R IVR Il flusso sicuro dei dati D k = intestazione TCP Servizi di sicurezza a livello di rete

8 IPv4 A Rete B Packet sniffing: lettura dei pacchetti in transito IP spoofing: falsificazione dell'indirizzo del mittente Connection hijacking: inserimento di dati nei pacchetti in transito Clogging: generazione di un carico di lavoro inutile ed oneroso IPSec Indirizzi IP: 4 16 ottetti Rete A B Riservatezza Autenticazione Key Agreement RFC 1636 (1994), RFC 2401, 2402,2406, 2408 (1998) Riferimento anche per LAN e WAN

9 Servizi di Sicurezza Offerti Integrità dei datagrammi Autenticazione dell origine dei dati Rifiuto dei pacchetti di replica Confidenzialità Confidenzialità parziale del flusso di traffico IPsec è costituito da tre protocolli: Authentication eader (A) per autenticazione dei pacchetti Encapsulating Security Payload (ESP) per confidenzialità ed autenticazione dei pacchetti Internet Key Exchange (IKE) per negoziazione dei parametri di sicurezza, autenticazione e distribuzione delle chiavi Servizi e Protocolli

10 Componenti di IPSec IPSec è un architettura per dare sicurezza al livello IP. IPSec prevede: una suite di protocolli per svolgere servizi: IKE, A, ESP un insieme di entità per istanziare i servizi: SA, SAD, SPD 1a- IKE: Negoziazione 1b- Accordo sulla SA ost o gateway SA SA stato! SAD 2 - A: Autenticazione Tipo di protezione 3 - ESP: Riservatezza Tipo di traffico SA SA stato! SAD ost o gateway SPD Tipo di politiche SPD Gli elementi di IPSec SPD(Security Policy Database): entità che esamina tutto il traffico IP, sia in ingresso che in uscita, per decidere quali pacchetti debbano usufruire dei servizi IPSec e per approntare di caso in caso il tipo di servizio più adatto. SAD(Security Association Database): entità che tiene traccia di quale tipo di servizio sia stato espletato, in quale modo e dove siano stati indirizzati i pacchetti in questione. SA(Security Association): struttura che identifica in maniera univoca una connessione unidirezionale tra due interlocutori, specificando il servizio di sicurezza offerto con i relativi parametri(chiavi, algoritmi..)

11 Security Association Parametri di una SA

12 Database di Sicurezza Esempi di Politiche

13 SPD Invio di un messaggio Pacchetto IP Quale security policy? SPD Security rules Crea nuova SA oppure legge SA esistente SAD Pacchetto IPSec Applica algoritmi

14 Ricezione di un messaggio Pacchetto IPSec Trova SA SAD Applica algoritmi Quale security policy? SPD Pacchetto IP Verifica security policy Il servizio per l autenticazione (A) segreto origine hash integrità segreto condiviso MAC A pacchetto pacchetto MAC CFR S/N pacchetto MAC - MD5 96 bit MAC - SA-1 96 bit.

15 Il servizio per la riservatezza (ESP) chiave origine cifrario segretezza chiave segreta condivisa ESP pacchetto E pacchetto D pacchetto DES, TDES, IDEA, RC5, CAST, Blowfish. Intestazioni A (Authentication eader) ESP (Encapsulating Security Payload)

16 Campi comuni - Security Parameter Index (SPI): questo campo di 32 bit, insieme all indirizzo IP di destinazione ed all identificatore di protocollo, identifica in maniera univoca la SA relativa al datagramma. - Sequence number field: espleta il servizio di anti-replay tramite la numerazione progressiva dei datagrammi - Autentication Data: contiene l ICV (Integrity Check Value), che consente di verificare l integrità del pacchetto in fase di ricezione. Servizio anti-replay All arrivo di ogni nuovo pacchetto valido, la destinazione lo marca e sposta la finestra in modo da disporlo all estremità destra Finestra scorrevole Lunghezza di default della finestra: 64 pacchetti

17 Trasporto e Tunnel Pacchetti IPSec con SA in modalità trasporto IP header IPSec header TCP/UDP header + data A ESP e/o A Pacchetti IP originali IP header TCP/UDP headerdata ESP e/o A IP header IPSec header IP header TCP/UDP headerdata Pacchetti IPSec con SA in modalità tunnel Protocollo IKE IKE (Internet Key Exchange): meccanismo con cui due interlocutori possono accordarsi sui parametri relativi ad una SA (creazione, cancellazione, A o ESP, ecc.). framework ISAKMP (messaggi & stato) protocollo Oakley (gestione chiavi) protocollo Scheme (gestione chiavi)

18 IKE fase 1: ISAKMP SA 1 Iniziatore (Ix) DR SA Negoziazione Ricevente (Rx) DR SA DR KE N Ix chiave anonima e nonce nome, cert, e firma DR ID Ix [CERT] cifrato Scambio D- Identificazione Sign. Ix chiave anonima e nonce DR KE N Rx 4 cifrato DR ID Rx [CERT] Sign. Rx nome, cert, e firma 6 IKE fase 2: creazione di una SA Iniziatore (Ix) Ricevente (Rx) auten., proposta e random nuova chiave 1 DR AS SA N Ix auten., proposta e random nuova chiave cifrato DR AS SA N Rx 2 cifrato cifrato 3 DR AS

19 Condivisione del segreto: Oakley Scambio di certificati SA SB X A g XA mod p S S g XB mod p X B S/N V V S/N Y B XA mod p Y A XB mod p pacchetto A o ESP pacchetto IKE: anonimato ed identificazione SA X A g XA mod p g XB mod p X B S S Y B XA mod p Y A XB mod p S Y A ID A E E Y B ID B Cert P A Cert PB Y B Y A ID B ID A Cert P B D D Cert P A V V