Secure Stream
PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado di instaurare un tunnel cifrato tra due reti. Quello che le rende uniche nel loro genere è il tipo di algoritmo che viene utilizzato per la cifratura, che è il QP-DYN, basato sulla teoria dei sistemi dinamici caotici.
CARATTERISTICHE DELLE CRYPTO BOX Le Crypto BOX sono basate su sistema operativo Linux. Le principali caratteristiche sono: Non richiedono installazione di software aggiuntivi e non hanno requisiti particolari di compatibilità Non necessitano di un canale dedicato particolare Performance elevate in termini di banda Protezione sia del traffico streaming sia del traffico tradizionale (web, mail ) Elevata flessibilità nella definizione delle policy di sicurezza (integrazione con filtri e Linux firewall) Interfaccia di configurazione grafica user-friendly Possibilità di scegliere chiavi da 256 bit a 300.000 bit
COME FUNZIONANO Le Crypto BOX funzionano a livello IP, quindi è supportato qualsiasi protocollo IP-based. Possono essere configurate per proteggere tutto il traffico tra due reti o solo quello relativo a determinate sessioni, identificate da un protocollo e da determinate porte. LAN1 LAN2 I pacchetti inviati dalla LAN1 sono catturati dalla Crypto BOX 1 La Crypto BOX 1 cifra i pacchetti e li incapsula in un payload UDP, inviandoli alla Crypto BOX 2 La Crypto BOX 2 riceve i pacchetti e li decifra I pacchetti decifrati sono inviati alla LAN2
Web Conference APPLICAZIONI Trasmissione contemporanea di audio, video, contenuti informativi (documenti, files ) su canale cifrato Crypto BOX Crypto BOX
APPLICAZIONI Connessioni protette punto-punto Connessione di due reti in VPN su canale cifrato network switch Crypto BOX Crypto BOX network switch LAN 1 LAN 2
QP-DYN QP-DYN è un algoritmo di nuova concezione, basato su una matematica innovativa e capace di prestazioni eccezionali anche su piccoli dispositivi. Esso permette di cifrare in tempo reale qualsiasi tipo di flusso digitale, dalla messaggistica alla trasmissione di filmati di alta qualità nelle immagini e nei suoni senza introdurre ritardi o ridondanze. Gli algoritmi di questa classe dipendono da parametri che possono essere personalizzati dall utente a seconda delle sue esigenze specifiche, con il risultato di porre eventuali attaccanti nella condizione di non poter ricostruire quale specifica variante degli algoritmi si sta usando e quindi aumentando enormemente la sicurezza del sistema. QP-DYN è un metodo per lo scambio dati sicuro nelle comunicazioni simmetriche, utilizzato per crittare e decrittare in tempo reale messaggi di lunghezza non stabilita a priori. Perciò il metodo permette la comunicazione crittata di flussi di dati (stream) continuamente generati ovvero di dati la cui lunghezza finale non è predicibile. Finora nessuno è stato in grado di dimostrare l esistenza di punti deboli di questo algoritmo che è stato sottoposto in Italia e all estero alla valutazione di esperti, specializzati negli attacchi ad algoritmi crittografici.
Case History Città del Vaticano
Possibili connessioni CryptoBox <-> Video Server - Rame 10 GbitE diretto - Rame GbitE diretto - Fibra diretta -Dual Rate 10GBASE-SR/1000BASE-SX -Dual Rate 10GBASE-LR/1000BASE-LX NOTA: Il Video Server dovrà essere configurato in modo che CryptoBox sia il default GW. In alternativa CryptoBox realizzerà transparent routing Schema Crypto Box Tunnel Crypto Stream Sede Remota Video Viewer I flussi delle diverse telecamere potranno essere distinti differenziando le porte sorgenti e di destinazione In generale, CryptoBox può essere usato per la protezione di qualunque flusso applicativo da trasferire tra 2 sedi distaccate CryptoBOX1 Router IP/MPLS Possibili connessioni CryptoBox <-> Router: -direct copper 1/10 GbitE - direct attach copper 10GbitE - copper GbitE attraverso switch ottico/rame - Fibra diretta -Dual Rate 10GBASE-SR/1000BASE-SX -Dual Rate 10GBASE-LR/1000BASE-LX Router IP/MPLS Circuito MPLS CryptoBOX2 Video Server Sede Centrale NOTA: eventuali firewall dovranno essere configurati in modo da accettare in entrata e uscita traffico UDP su porte configurabili dall utente
CryptoBOX: tunneling sicuro IP TCP/ UDP Applicaz. 1 PROCESSAMENTO CRYPTO_BOX 2 3 CryptoBOX remoto IP UDP QPDYN header Pacchetto cifrato I pacchetti inviati dalle applicazioni protette da CryptoBOX vengono catturati a livello IP (1) e processati dal software CRYPTO-BOX (2) Il pacchetto catturato viene prima cifrato e poi marcato con un vettore di inizializzazione (IV) L IV esplicito permette la risincronizzazione della cifratura anche a seguito di perdite di pacchetti I pacchetti cifrati + IV vengono quindi incapsulati in un payload UDP (3) e inviati verso il CryptoBOX di destinazione (4). CryptoBOX offe quindi NAT traversal basato su incapsulamento UDP.
Protocolli supportati CryptoBOX lavora a livello IP. Questo significa che qualunque protocollo trasportato da IP è supportato da CryptoBOX Esempi di protocolli supportati: HTTP, RTP, MMS, SIP, FTP,TELNET, TFP, RTSP
Configurazione Le Associazioni di Sicurezza QPDYN-NETSEC sono configurabili graficamente attraverso l interfaccia grafica di configurazione di CryptoBox In alternativa, le associazioni di sicurezza possono essere configurate tramite file testuali attraverso una semplice sintassi nella forma chiave:valore
Esempio di Configurazione Basic Configurazione CryptoBox1. Protezione di tutto il traffico indirizzato alla LAN 2 (e viceversa) Security Association 1 (da LAN 1 a LAN 2): security_association: out TunRemoteAddress: 7.0.0.2 EncapType: UDP UdpDst: 8000 UdpSrc: 9000 secret_type: passphrase passphrase: PASSWORD1 queue: 1 NetDest: 192.168.2.0/24 TunLocalAddr: 8.0.0.2 mode: router Security Association 2 (da LAN 2 a LAN 1): security_association: in TunRemoteAddress: 7.0.0.2 EncapType: UDP UdpDst: 9000 UdpSrc: 8000 secret_type: passphrase passphrase: PASSWORD2 queue: 2 mode: router Nota: una volta effettuata la configurazione di CryptoBox1, la configurazione di CryptoBOX2 è speculare e ottenibile automaticamente tramite apposito tool di configurazione remota.
Esempio Configurazione Advanced CryptoBox 1: 7.0.0.1 CryptoBox 2: 8.0.0.1 flusso 1 RTP porte destinazione da 4000 a 5000 Security Association 1 Chiave 4578634f4758aaca flusso 2 HTTP Security Association 2 Chiave d476ab34eeff3456 flusso 3 UDP indirizzo sorgente 10.0.0.1 Security Association 3 Chiave fff43543abfc5512 flusso 4 TCP indirizzo destinazione 60.1.2.3 Security Association 4 Chiave 64785aab543abfc5 Security Association 1: security_association: out TunRemoteAddress: 8.0.0.1 EncapType: UDP UdpDst: 8000 UdpSrc: 9000 secret_type: passphrase passphrase: 4578634f4758aaca queue: 1 nf_match: -p udp -dport 4000:5000 TunLocalAddr: 7.0.0.1 mode: router Security Association 2: security_association: out TunRemoteAddress: 8.0.0.1 EncapType: UDP UdpDst: 8001 UdpSrc: 9001 secret_type: passphrase passphrase: d476ab34eeff3456 queue: 2 nf_match: -p tcp -dport 80 TunLocalAddr: 7.0.0.1 mode: router Security Association 3: security_association: out TunRemoteAddress: 8.0.0.1 EncapType: UDP UdpDst: 8002 UdpSrc: 9002 secret_type: passphrase passphrase: fff43543abfc5512 queue: 3 nf_match: -s 10.0.0.1 TunLocalAddr: 7.0.0.1 mode: router Security Association 4: security_association: out TunRemoteAddress: 8.0.0.1 EncapType: UDP UdpDst: 8003 UdpSrc: 9003 secret_type: passphrase passphrase: 64785aab543abfc5 queue: 4 nf_match: -p tcp d 60.1.2.3 TunLocalAddr: 7.0.0.1 mode: router
Modalità di accesso remoto Due modalità di accesso per la configurazione: 1. Tramite interfaccia WEB grafica protetta da HTTPS (protezione TLS, certificati X.509) configurazione grafica 2. Tramite console protette SSH (Secure SHell - standard IETF RFC425[123]) con autenticazione basata su chiavi pubbliche SSH o password configurazione testuale
Prestazioni E stata realizzato un test di banda in cui i due CryptoBox (1 e 2) sono stati configurati per la trasmissione cifrata di n flussi TCP in parallelo (n = 1, 4, 8, 12, 16). Gli n socket TCP creati su CryptoBox 1 sono stati connessi a CryptoBox 2 in parallelo. Nel corso di test continuativi, sono è stato misurato il bitrate aggregato al variare della lunghezza del payload TCP (100, 200, 500, 1000, 1400 bytes). I risultati seguono nella slide successiva Riferimento: flusso HD H.264, bitrate approssimativo di 38 Mbps Macchine utilizzate: Intel(R) Xeon(R) CPU X3470 @ 2.93GHz 4 cores - hyperthreading
Bitrate Aggregato [Mbit/s] Prestazioni (cont.d) QPDYN-NETSEC - Traffico TCP - 8 processori in hyperthreading 600 500 400 1 flusso 300 4 flussi 8 flussi 12 flussi 200 16 flussi 100 0 0 200 400 600 800 1000 1200 1400 1600 Dimensione Payload [Bytes]
Configurazione Failover Redundancy Il protocollo Common Address Redundancy Protocol (CARP) permette di configurare diversi host sulla stessa LAN in modo da condividere un insieme di indirizzi IP. Failover Redundancy in firewall e router. Linux porting: ucarp. Presente nei repository UBUNTU server CARP è un alternativa opensource a HRSP della CISCO Alternative: Linux HA (HeartBeat) + Pacemaker