Host Identity Protocol



Documenti analoghi
Host Identity Protocol

Sicurezza a livello IP: IPsec e le reti private virtuali

Man-in-the-middle su reti LAN

Cos è. Protocollo TCP/IP e indirizzi IP. Cos è. Cos è

Approfondimento di Marco Mulas

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Protocolli di Comunicazione

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Programmazione in Rete

La sicurezza delle reti

P2-11: BOOTP e DHCP (Capitolo 23)

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

La sicurezza nelle reti di calcolatori

Informatica per la comunicazione" - lezione 13 -

Reti di Calcolatori. Il software

Elementi sull uso dei firewall

Protocolli applicativi: FTP

Internet. Introduzione alle comunicazioni tra computer

Wireless Network Esercitazioni. Alessandro Villani

Gestione degli indirizzi

LAN Sniffing con Ettercap

Contesto: Peer to Peer

Gestione delle Reti di Telecomunicazioni

Dal protocollo IP ai livelli superiori

Nuovo server E-Shop: Guida alla installazione di Microsoft SQL Server

Reti diverse: la soluzione nativa

Esercitazione su UML Ingegneria del Software - San Pietro

StarShell. IPSec. StarShell

Progettare un Firewall

Gli indirizzi dell Internet Protocol. IP Address

ARP (Address Resolution Protocol)

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link

Introduzione alle applicazioni di rete

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

Problemi legati alla sicurezza e soluzioni

OpenVPN: un po di teoria e di configurazione

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Guida all'installazione rapida di scansione su

Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e

Reti di Telecomunicazione Lezione 8

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Gestione degli indirizzi

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 3 a lezione a.a. 2009/2010 Francesco Fontanella

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

SWITCH. 100 Mb/s (UTP cat. 5E) Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

Lo scenario: la definizione di Internet

Firewall e Abilitazioni porte (Port Forwarding)

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

URI. Introduzione. Pag. 1

Guida di Pro PC Secure

Guida in linea di Symantec pcanywhere Web Remote

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

TeamPortal. Servizi integrati con ambienti Gestionali

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

Outlook Plugin per VTECRM

Esercitazioni di Tecnologie e Servizi di Rete: Voice over IP (VoIP)

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

La sicurezza nelle comunicazioni Internet

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

il trasferimento di file

Reti di Telecomunicazione Lezione 6

Reti diverse: la soluzione nativa

Informatica per la comunicazione" - lezione 8 -

Protocollo IP e collegati

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica

LABORATORIO DI TELEMATICA

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Elementi di Informatica e Programmazione

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Inizializzazione degli Host. BOOTP e DHCP

PROF. Filippo CAPUANI. Accesso Remoto

ARP e instradamento IP

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

APPUNTI SULLA POSTA ELETTRONICA

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

Reti di Calcolatori

Networking Wireless con Windows XP

Elementi di Informatica e Programmazione

I M P O S T A R E U N A C C O U N T D I P O S T A C O N M O Z I L L A T H U N D E R B I R D

Maschere di sottorete a lunghezza variabile

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012

Argomenti della lezione

ASSEGNAZIONE INDIRIZZI IP

BANDO GIOVENTÙ ESPLOSIVA Torino 2010 Capitale Europea dei Giovani. La mia associazione può presentare 2 progetti come soggetto proponente?

Connessione di reti private ad Internet. Fulvio Risso

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Configurazione account di posta elettronica certificata per Microsoft Outlook

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando

Guida Microsoft Outlook, Creare e configurare l'account su dominio generico

The SPARTA Pseudonym and Authorization System

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

HTTP adaptation layer per generico protocollo di scambio dati

LE POSSIBILITA' DI ACCESSO DA REMOTO ALLE RETI DI CALCOLATORI

Internet e protocollo TCP/IP

Transcript:

Host Identity Protocol Seminario per il corso di Sicurezza 2004/2005 Guido Vicino Università del Piemonte Orientale Amedeo Avogadro

Perché l indirizzo IP non basta più Protocollo TCP/IP formalizzato negli anni 70/80. Indifferenza verso le tematiche di sicurezza, privatezza e autenticazione dei dati. Ideato per sistemi statici e non mobile. Incongruenze semantiche tra identità e locazione.

Quello che abbiamo

Quello che vogliamo

Perché vogliamo separare i due livelli? Reti e mobilità Grande diffusione di tecnologie wireless Supporto per sistemi multi-homed Bisogno di maggiore anonimità! Bisogno di maggiore identità! Protezione da attacchi address based

Esempio di rete mobile

Attacchi address based

Host Identify Protocol Host Identity Namespace Si vuole un nuovo spazio dei nomi sostitutivo a quello fornito dal protocollo IP e dal protocollo DNS. Semantic overloading and functionality complicated these namespaces. Moskowitz [1]

Host Identifiers (HI) Host Identity vs Host Identifier. L Host Identity viene fornita tramite una chiave pubblica denominata Host Identifier e verificata tramite un opportuna chiave privata. L HI può essere pubblica e indicizzata tramite Directory/DNS oppure privata.

Host Identity Tag & Local Scope Identity Host Identity Tag: hash a 128 bit della chiave pubblica per l uso all interno delle intestazioni dei pacchetti. Local Scope Identity: hash a 32 bit della chiave pubblica per compatibilità con vecchie API e sistemi IPv4. Utilizzata solo localmente, a causa dei rischi di collisione.

Nuovo livello nello stack. Vecchia coppia: indirizzoip : porta Nuova coppia: hostidentifier: porta Crittografia e autenticazione tramite IPsEC Architettura HIP

Pacchetto HIP

Sessione HIP Features Four-way Handshaking. Scambio sicuro tramite Diffie Hellman. Associazioni SA tramite IPSec. Messaggi protetti tramite ESP. Protezione da DoS tramite il challenge system.

Sessione HIP Initiator e Responder L Initiator è colui che richiede lo scambio di messaggi. Il Responder è colui che risponde. La protezione da DoS, viene offerta spostando il carico di lavoro dal Responder all Initiator.

Sessione HIP four-way handshaking 1. L Initiatior invia il pacchetto I1 contenente la richiesta e gli HIT del mittente e del destinatario.

Sessione HIP four-way handshaking 2. Il Responder invia questo pacchetto in risposta all R1, inizia Diffie Hellman e spedisce i dati riguardanti la connessione ESP. Invia inoltre un indovinello crittografico

Sessione HIP four-way handshaking 3. L initiator deve rispondere al puzzle crittografico inviato nel pacchetto R1, inviare le preferenze ESP. 2. Nel caso la risposta al puzzle sia corretta si stabilisce la connessione con R2.

Sessione HIP four-way handshaking altrimenti il Responder continua ad inviare un numero predefinito di pacchetti R1 contenenti i challenge puzzle.

HIP e Denial of Services La protezione da attacchi di tipo Denial of Service (DoS) viene fornita tramite il sistema di challenge. I DoS normalmente sfruttano il maggior carico di lavoro richiesto dal destinatario di una connessione rispetto al lavoro quasi nullo del richiedente.

HIP e Denial of Services Il sistema di Challenge ribalta questo paradigma, spostando il carico maggiore verso il richiedente. Ci si protegge da vecchi attacchi ma se ne introducono di nuovi..

HIP e DoS: Nuovi problemi (1) Dopo che l Initiator ha inviato la risposta al challenge, si inviano pacchetti I2 multipli con payload e firme non valide, al fine di sovraccaricare la macchina. Come difesa, si scartano i pacchetti I2 dopo un certo numero di errori.

HIP e DoS: Nuovi problemi (2) Sfruttare il recupero delle associazioni dopo un crash di sistema. HIP utilizza degli stati, se uno scambio viene inizializzato le parti si trovano in ESTABLISHED fino a quando non viene fatta una CLOSE. Si possono inviare pacchetti di resume per confondere e causare Denial of Service

HIP e DoS: Nuovi problemi (3) Altri due possibili attacchi: ICPMP Parameter Problem e Reflection Attacks. Causati dall invio di pacchetti CLOSE errati. Perdita della sincronizzazione nel caso di un Responder malevolo che sfrutti il challenge come sistema di attacco.

HIP e Man-in-the-Middle Problemi di Man-in-the-middle risolti se c e un Address Directory che mi certifica i miei HI. Spesso però gli HI sono anonimi e non si vuole un così alto livello di protezione per connessioni saltuarie. Problema parzialmente risolto.

Riferimenti [1]: R. Moskowitz, P. Nikander, Host Identity Protocol Architecture Internet Draft, IETF 2004, draft-ietf-hip-arch-02. [2]: R. Moskowitz, P. Nikander, P. Jokela, T. Henderson, Host Identity Protocol, Internet Draft, IETF 2005, draft-ietf-hip-base-02. [3]: P. Jokela, P. Nikander, J. Melen, J. Ylitalo, J. Wall Host Identity Protocol Extended Abstract in Proceedings of WWRF8bis (electronic), Beijing, China, February 26-27, 2004. [4]: K. Kostiainen Host Identity Payload for Mobility and Security, Helsinki University of Technology, Department of Computer Science and Engineering, 2003.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back