Transcript

• 1. IPsecについて 野村裕佑 1
• 2. 概要IPsecの位置づけIPsecの構成要素と機能IPsecの仕組みSA管理と 管理(IKEv2)参考文献：“マスタリングIPsec第2版,” 馬場達也, O’REILLY, 2006. 2
• 3. IPsecの必要性インターネット上の通信は原理的に全て盗聴可能 tcpdump, snoopなどによるパケットキャプチャ SMTPサーバの一時保存データIPsecを使えば盗聴や改ざんによる被害からあなたを守ってくれます ただし非常に複雑で難しいのでがんばってください 3
• 4. データのセキュリティ機密性(Confidentiality) データの内容を第三者に知られないようにする安全性(Integrity) 改ざんされないようにする認証(Authentication) 相手が正当であることを確認（相手認証） 改ざんされていないことを確認（メッセージ認証）否認防止(Non-repudiation) データ送信したことを否定させない 4
• 5. IPsecの特徴ネットワーク上のデータの機密性を確保ネットワーク上のデータの安全性を確保データの送信元を認証IETF標準将来性がある（IPv6では標準機能(?)）アルゴリズム選択の柔軟性IP層であり、エンドユーザに透過的VPN構築（トンネルモード） 5
• 6. IPsecでできること／できないこと ホスト IPsec機器 IPsec機器 ホスト ・データ暗号化 ・メッセージ認証 ・相手認証保護できない IPsecで保護できる 保護できない 6
• 7. IPsecを補完する技術ホスト上のデータの暗号化ホスト上のデータのメッセージ認証（Tripwire）アクセス制御（ファイアウォール）アクセス元の認証（ワンタイムパスワード）不正アクセス監視（IDS）脆弱性の発見と修正（脆弱性スキャナ） 7
• 8. セキュリティプロトコルデータ通信のセキュリティを確保するプロトコル IPsec SSL/TLS SSH TSIG, SIG(0) S/MIME, PGP DNSSEC など……目的に合わせて適切に選択しましょう 8
• 9. セキュリティプロトコルの関係 www E-mail rlogin DNS メッセージ DNSアプリケーション Web Data データ コンテンツ S/MIME, PGP DNSSECアプリケーション層 HTTP DOMAIN POP3 SMTP IMAP4 SSH + TSIG SSL/TLSトランスポート層 TCP UDP IPsecネットワーク層 IP データリンク層 PPP Ethernet ATM 9
• 10. IPsecの構成要素と機能 10
• 11. IPsec関連の主なRFC非常に多い。ドラフトも多いので注意 IPsecアーキテクチャ 4301 セキュリティプロトコル 4302, 4303, 3173 セキュリティプロトコル用アルゴリズム 4305, 2405, 2410, 2451, 3602, 3686, 2403, 2404, 3566, 4543, 2394, 2395, 3051 管理プロトコル 4306 管理プロトコル用アルゴリズム 4307, 3526, 4434 11
• 12. IPsecを構成するプロトコル群AH(Authentication Header) IPパケットの完全性確保 ESPで代用可能なのでv3から実装は必須ではないESP(Encapsulating Security Payload) IPパケットの機密性と完全性を確保IKEv2(Internet Key Exchange version 2) 500/UDP, 4500/UDP やアルゴリズム等の情報交換のためのプロトコル IPsecとは独立IPComp(IP Payload Compression Protocol) IPパケットの圧縮（省略） 12
• 13. IPsecで利用する暗号技術IPsec データの暗号化：共通 暗号 メッセージ認証：メッセージ認証コード(MAC)IKEv2（ 交換プロトコル） メッセージ暗号化：共通 暗号 メッセージ認証：メッセージ認証コード(MAC) 秘密 の共有：Diffie-Hellman 共有アルゴリズム 秘密 共有時の相手認証：デジタル署名 相手認証用の公開 入手：PKI（公開 基盤） 13
• 14. 暗号化方式共通 のブロック暗号方式：ECB, CBC, CFB, OFB, CTR共通 暗号：DES, 3DES, AES, IDEA, RC2, RC4, RC5, RC6,Blowfish, Twofish, CAST-128, CAST-256, Camella, SEED公開 暗号：RSA, ElGamal, ECC一方向ハッシュ関数：MD2, MD4, MD5, SHA-1, SHA-256,SHA-384, SHA-512, RIPEMD-160, RIPEMD-128MAC:HMAC, CBC-MAC, XCBC-MAC, CMAC, GMACデジタル署名：RSA署名, DSA署名(DSS), ECDSA署名秘密 共有アルゴリズム：Diffie=Hellman 共有アルゴリズム, 公開 暗号を利用した 配送方式PKI：CAと公開 証明書 14
• 15. IPsecが提供するサービスアクセス制御データの完全性確保データ送信元の認証リプレイ防御データの機密性確保トラフィック情報の機密性確保 15
• 16. アクセス制御AHまたはESPにより提供セキュリティポリシー（IPsecポリシー）の設定 パケットに対してIPsecを適用するか、しないか、破 棄するかを記述 16
• 17. データの完全性確保AHまたはESPにより提供メッセージ認証コード(MAC)を利用IPなのでコネクションレスの完全性のみ確保 前後のパケットを見ない 17
• 18. データ送信元の認証AHまたはESPにより提供メッセージ認証コード(MAC)を利用共有秘密 の交換は手動 or IKEv2 18
• 19. リプレイ防御AHまたはESPにより提供（オプション）再送攻撃を防御パケットにシーケンス番号を付与し、受信側で重複を検出する 19
• 20. データの機密性確保ESPにより提供データを共通 暗号により暗号化 20
• 21. トラフィック情報の機密性確保ESPにより提供どのような種類のアクセスが行われたかを隠 プロトコルヘッダの暗号化トンネルモードでは始点と終点のIPアドレスも隠送信データ量もある程度は隠 可能IPsecではアクセス時刻や頻度は隠 できない 21
• 22. IPsecの要素まとめ IPsecポリシーによる アクセス制御 フィルタリング AHIPsec 完全性 シーケンス番 ESP 送信元認証 トンネリング IPComp リプレイ防御 HMAC, CBC-MAC... 機密性 MAC 3DES, AES... CBC... ペイロード圧縮 トラフィック情報 共通 暗号 SHA-1... の機密性 RSA署名, DSS... デジタル署名 公開 基盤 RSA, ECC, ElGamalIKEv2 Diffie-Hellman 共有アルゴリズム CA 22
• 23. IPsecの仕組み 23
• 24. IPsecプロトコルモードトランスポートモードトンネルモード 24
• 25. トランスポートモードホスト間のIPsec接続に使用主にIPペイロードのセキュリティを確保 IPsec接続 端末 端末 IPv4 TCP データ ヘッダ ヘッダ IPv4 ESP/AH TCP ESP データヘッダ ヘッダ ヘッダ トレーラ 25 暗号化
• 26. トンネルモード ゲートウェイ間でのトンネル構築に使用 IPパケット全体を保護 IPsec接続端末 IPsec機器 IPsec機器 端末 IPv4 TCP データ ヘッダ ヘッダ トンネル ESP/AH IPv4 TCP ESP データIPv4ヘッダ ヘッダ ヘッダ ヘッダ トレーラ 26 暗号化
• 27. IPsecの通信手順セキュリティポリシーセキュリティアソシエーションESPヘッダ処理の流れ 27
• 28. セキュリティポリシーパケットに対して、IPsecを適用する(PROTECT)、IPsecを適用しない(BYPASS)、破棄(DISCARD)の3つの操作を行うセレクタ：パケットを指定するための情報（条件式） 送信元アドレス、送信先アドレス 次レイヤプロトコル 送信元ポート、送信先ポート ICMPメッセージタイプ／コード 名前（実装依存）操作ごとにセキュリティポリシーデータベース(SPD)に登録 28
• 29. セキュリティポリシーの例 セレクタ評価 適用する リモート ローカル 次レイヤ その他順序 処理 アドレス アドレス プロトコル （ポートなど） トンネルモード 始点：10.1.1.11 10.2.1.0/24 10.1.1.0/24 ANY ANY 終点：10.2.1.1 ESP：AES-CBC AES-XCBC-MAC-96 トランスポートモード 始点：10.1.1.12 10.1.1.0/24 10.1.1.0/24 ANY ANY 終点：10.1.1.1 ESP：AES-CBC AES-XCBC-MAC-96O1 10.3.1.0/24 10.1.1.0/24 ANY ANY BYPASSO2 ANY ANY ANY ANY DISCARDI1 10.3.1.0/24 10.1.1.0/24 ANY ANY BYPASSI2 ANY ANY ANY ANY DISCARD 29
• 30. セキュリティアソシエーションIPsecホスト間の約束（単方向コネクション） IPsecプロトコルモード（トンネルorトランスポート） IPsecプロトコル種別（AH or EPS） 暗号化アルゴリズム、認証アルゴリズム アルゴリズムのパラメータ（ など）単方向なので双方向通信するためには2本必要セキュリティポリシーに従って生成されるセキュリティアソシエーションデータベース(SAD)に格納 セキュリティパラメータインデックス(SPI)で識別 30
• 31. ESPパケットフォーマット0 31 セキュリティパラメータインデックス(SPI) ESPヘッダ シーケンス番号 初期ベクトル(IV)（可変長） ペイロード データ（可変長） TFCパディング（可変長） パディング（可変長）・次ヘッダ番号 ESPトレーラ 完全性チェック値(ICV)（可変長） 31
• 32. IPsec処理の流れ L3パケット DISCARD IPsec処理部 （破棄） SPD パケット情報 ポリシー 処理 DISCARD, BYPASS, PROTECT SAあり SAなし SPI （ESPヘッダ） SA SAD IKEv2 SA確立 登録 BYPASS 暗号化・認証（適用しない） 送信など 32
• 33. IPsecのフラグメント処理IPsecではヘッダが増えるのでIPパケットが大きくなる MTUを超えるとスループットが低下するので注意トランスポートモードではMTUを超えてもフラグメント処理をしない IPヘッダを使いまわすため、元のIPヘッダのMFビット との整合性をとれなくなるトンネルモードではフラグメント処理できる トンネルモードでは新たにIPヘッダを付加するから 第2フラグメント以降はTCPヘッダ等がないので別の セキュリティポリシーが適用される 33
• 34. 経路MTU探索IPsecでは送信元アドレスがわからない事がある 中継IPsecノードがICMP経路MTUメッセージを受け 取り、SADから探す メッセージにはESPヘッダの一部まで含まれる それらしきホスト全部に経路MTUメッセージを送信IPsecでは、SAにMTU値を格納トンネルモードではDF(Don’t Fragment Flag)を指定可能 DFセット、セットしない、元のIPヘッダからコピー 34
• 35. SA管理と 管理(IKEv2) 35
• 36. IKEv2概要生まれた経緯 暗号は時間をかければ解読可能（原理的には） 共有秘密 は頻繁に変更した方が安全 手動でやるのは面倒なので自動化500/UDPIPsec SAのパラメータを保護するためにIKE_SAを利用 IKE_SAは双方向（IPsec SAは単方向） IKE_SA確立後にIKE_SAを使ってIPsec SAを確立する IKEv1ではISAKMP SAと呼ばれていた 36
• 37. IKEv2の機能相手認証SAの折衝と管理共有秘密 の管理サービス妨害攻撃からの防御 37
• 38. 相手認証AHまたはESPで秘密 を共有する際に利用IKE_AUTH交換で実行される相手認証方式は2種類 事前共有秘密 認証 あらかじめ手動で秘密 を共有させておく デジタル署名認証 互いのデジタル署名を検証する（RSA、DSS） 38
• 39. SAの折衝と管理IKE_SAとCHILD_SA(IPsecSA)を折衝Initiatorが複数のSAパラメータを提案（プロポーザル）→ Responderがその中から選択最初に一本のIKE_SAを確立、これを使ってIPsecSAを二本確立 39
• 40. プロポーザルの例プロポーザル番号 プロトコル トランスフォームID SA属性 ENCR_AES_CBC 長128bit ESP ENCR_3DES なし 1 AUTH_AES_XCBC_96 なし AH AUTH_HMAC_SHA1_96 なし ENCR_AES_CBC 長128bit ENCR_3DES なし 2 ESP AUTH_AES_XCBC_96 なし AUTH_HMAC_SHA1_96 なし 40
• 41. 共有秘密 の管理IKEv2では定期的に共有秘密 を変更 Diffie-Hellman 共有アルゴリズムPFS(Perfect Forward Secrecy)保証 ある が解読されてもその情報から次の が解読さ れない性質 IKEv2では有効/無効を選択可能擬似乱数関数(PRF: Pseudo-Random Function) HMAC-SHA-1, HMAC-MD5, AES-XCBCが利用される 41
• 42. Diffie-Hellman 共有アルゴリズム p, g pとgの合意 pとgの合意 秘密 Xaの生成 秘密 Xbの生成 公開 Yaの生成 公開 Ybの生成 Ya = g^Xa mod p Ya Yb Yb = g^Xb mod p 共有秘密 Kの生成 共有秘密 Kの生成 K = Yb^Xa mod p K = Ya^Xb mod p 42
• 43. サービス妨害攻撃からの防御大量のIKEv2メッセージが送られるとサービスが妨害されるcookieを利用したチェックを行う（下図参照） クライアント ターゲット リクエスト ・cookieの値 ・クライアント情報 cookie ・リクエスト内容 リクエスト+cookie をチェックする 接続処理 レスポンス 43
• 44. リモートアクセスVPN 44
• 45. こんな時 LAN 自席の端末に つなぎたい GW IPsec接続外部端末 IPsec機器 端末 45
• 46. 必要な機能NAT対応内部IPアドレスの割り当てと内部ネットワーク情報の設定 外部端末でも内部のアドレスやDNS等の情報が必要ユーザ認証 端末が盗まれた時のためセキュリティポリシーの動的設定 外部端末のアドレスが不定なためファイアウォール通過設定 46
• 47. NATとIPsecの問題IPsecではTCP/UDPヘッダが暗号化または無い→ ポート番号が無い ベーシックNAT（NAPTではない方）なら適用できる かも送信元IPアドレスが変換される 完全性チェック値(ICV)の不一致で破棄されるチェックサムにアドレス情報が入らなければ可能？ AHではダメ ESPトンネルモードもしくはICMPならデータ次第で可 能 47
• 48. NATトラバーサル経路上のNAT/NAPTを検出し、IPsecパケットを通過させる技術IPsecパケットをUDPでカプセル化IKEv2のIKE_SA_INIT交換で、始点IPアドレスと終点ポート番号を含むメッセージを交換→ パケットヘッダの情報と異なればNATがあると判断NATが存在する場合、IKEv2はポートをUDP500からUDP4500に変更NATキープアライブ 48
• 49. 内部ネットワーク情報の設定IKEv1では、ISKMP-Config, IPsec-DHCPなどがあったIKEv2ではISKMP-Configを元にコンフィギュレーションペイロードを利用面倒なので略 手動でも良い 49
• 50. ユーザ認証IKEにワンタイムパスワード、チャレンジレスポンスなどの機能は無い v1で提案はされたが標準化されずIKEv2では標準で組み込まれた IKE_AUTH交換でEAP(PPP Extensible Authentication Protocol)を使える （よく調べてないができるらしい） 50
• 51. IPsec導入 51
• 52. 検討事項IPsecポリシー IPsecを適用するトラフィック・プロトコル 管理ポリシー IKEv2でよい IKEv2パラメータ暗号アルゴリズム いくつかスイートが用意されているネットワーク設計 ゲートウェイの場所 メール・DNSへの経路 52
• 53. まとめ便利だけど要素が多くて面倒くさい 53