IPsec

Da Wikipedia, l'enciclopedia libera.

IPsec è l'abbreviazione di IP Security ed è uno standard per ottenere connessioni basate su reti IP sicure. La sicurezza viene raggiunta attraverso la cifratura e l'autenticazione dei pacchetti IP. La sicurezza viene fornita, quindi, a livello di rete. La capacità di fornire protezione a livello di rete rende questo protocollo trasparente al livello delle applicazioni che non devono essere modificate.

Indice 1 Panoramica dello standard 1.1 Introduzione 2 Scopo del progetto 3 Dettagli tecnici 3.1 Security Association e Security Policy 4 Protocolli di IPsec 4.1 IKE 4.1.1 Descrizione 4.2 Authentication Header 4.2.1 Descrizione 4.2.2 Formato del pacchetto 4.2.3 Transport mode e Tunnel mode 4.3 Encapsulating Security Payload (ESP) 4.3.1 Descrizione 4.3.2 Formato del pacchetto 4.3.3 Tunnel mode e Transport mode 4.4 NAT Traversal 4.4.1 Descrizione 4.4.2 Scenario 5 Elenco degli RFC relativi ad IPsec 6 Collegamenti esterni

[modifica] Panoramica dello standard

[modifica] Introduzione

IPsec è una collezione di protocolli formata da

• Protocolli che forniscono la cifratura del flusso di dati
• Protocolli che implementano lo scambio delle chiavi per realizzare il flusso crittografato.

Per quanto riguarda il primo aspetto, esistono due protocolli: Authentication Header (AH) e Encapsulating Security Payload (ESP). ESP fornisce autenticazione, confidenzialità e controllo di integrità del messaggio ed è il protocollo IP 50. AH, invece, garantisce l'autenticazione e l'integrità del messaggio ma non offre la confidenzialità; per questo motivo ESP è molto più usato di AH; AH è il protocollo IP 51.
Attualmente esiste un solo protocollo per lo scambio delle chiavi, il protocollo IKE. IPsec è parte integrante di IPv6, mentre è opzionale in IPv4. Di conseguenza, ci si aspetta che sarà maggiormente utilizzato quando IPv6 acquisterà popolarità. Il protocollo è definito negli RFC 2401-2412. Dal 2004, sono in corso studi per l'aggiornamento dei protocolli.

[modifica] Scopo del progetto

IPsec è stato progettato per rendere sicure sia comunicazioni portal-to-portal sia comunicazioni end-to-end. Nella prima configurazione il traffico viene reso "sicuro" a diversi computer (in alcuni casi ad un intera LAN); nella seconda solo i peer che stabiliscono la connessione scambiano pacchetti protetti. Tuttavia l'uso predominante di IPsec è la creazione di VPN (virtual private network); per conseguire tale scopo possono essere utilizzati entrambi i metodi prima esposti

[modifica] Dettagli tecnici

IPsec supporta due modalità di funzionamento:

• Transport mode
  1. connessione host-to-host
  2. usato dagli end-point non dai gateway
  3. viene cifrato solo il payload dei datagram IP,non l'header
  4. computazionalmente leggero
  5. ogni host che vuole comunicare deve avere tutto il sw necessario ad implementare IPsec
  6. aggiungo solo l'header IPsec, mittente e destinazione si vedono
• Tunnel mode
  1. connessione gateway-to-gateway
  2. viene cifrato tutto il pacchetto IP originale
  3. utilizzato per realizzare le VPN
  4. computazionalmente oneroso
  5. solo i gateway devono avere il sw Ipsec
  6. ho punti di centralizzazione quindi single point of failure
  7. ho un doppio incapsulamento, aggiungo l'header del gateway e l'header IPsec,mittente e destinazione non si vedono

Le due modalità sono supportate sia da AH che da ESP.

IPsec può essere utilizzato anche per connessioni tra gateway e host.

[modifica] Security Association e Security Policy

Il concetto di Security Association (in breve SA) è alla base del funzionamento di IPsec. Una SA è un "contratto" fra le due entità coinvolte nella comunicazione; in essa vengono stabiliti i meccanismi di protezione e le chiavi da utilizzare durante il successivo trasferimento dei dati. Nell'ambito di IPsec, stabilire le security association è compito del protocollo IKE, sebbene sia possibile anche impostarle manualmente; ovviamente la procedura manuale è sconsigliata in quanto può introdurre errori che indeboliscono il tunnel.
Una peculiarità delle SA è che individuano una comunicazione unidirezionale; quindi durante la creazione della connessione le entità coinvolte creano e gestiscono una SA per ognuno dei versi della comunicazione, quindi 2 SA individuano un canale full-duplex. Al fine di semplificare la gestione delle SA, viene utilizzato un apposito database detto SAD (Security Association Database), dove viene tenuta traccia delle SA attive. Una SA è costituita dai seguenti parametri

• Gli indirizzi IP dei peer coinvolti nella comunicazione
• Il protocollo che verrà utilizzato per il tunnel (AH o ESP)
• le tecniche di cifratura utilizzate e le relative chiavi
• Un intero a 32 bit chiamato SPI, acronimo per Security Parameter Index

Dall'esame dei parametri di una SA, si deduce che vi sono contenute le informazioni necessarie per stabilire in che modo il traffico debba essere protetto; il passo successivo è definire quale traffico debba essere protetto: di questo si occupa la Security Policy (in breve SP). Una SP è una regola che stabilisce che tipo di traffico deve essere instradato nel tunnel e quindi essere coperto da IPsec; in modo analogo alle SA, le SP sono contenute in un SPD (Security Policy Database). La security policy contiene:

• Indirizzo sorgente e indirizzo destinazione del pacchetto. Tale informazione è già contenuta nella SA e quindi può sembrare ridondante. In realtà questa informazione ha senso quando viene utilizzato il Tunnel mode.
• Il protocollo e la relativa porta da instradare nel tunnel. Questa opzione dipende dall'implementazione del protocollo e non è sempre contemplata; nel caso non sia disponibile, tutto il traffico prodotto viene veicolato nel tunnel.
• Un identificativo della SA da utilizzare per processare i dati.

Una volta stabilita la security association e la security policy, può cominciare la comunicazione che sfrutterà il protocollo AH o il protocollo ESP cui verrà passato il parametro SPI, che permetterà di risalire alle tecniche crittografiche da utilizzare per la trasmissione.

[modifica] Protocolli di IPsec

[modifica] IKE

[modifica] Descrizione

IKE è un acronimo per Internet key exchange ed è il protocollo usato per stabilire una security association nella suite di protocolli IPsec. Questo protocollo è definito in RFC 4306. È un protocollo di livello applicazione e utilizza il protocollo UDP come protocollo di trasporto; la porta su cui viene stabilita la connessione è 500.
L'obiettivo di IKE è stabilre uno shared session secret, ossia una chiave condivisa corrispondente alla sessione da instaurare e a tal fine utilizza l'algoritmo di Diffie-Hellman; dallo shared secret vengono successivamente derivate le chiavi crittografiche che verranno utilizzate per la successiva comunicazione. Al fine di autenticare le entità coinvolte nella comunicazione possono essere utilizzate tecniche a chiave simmetrica o, alternativamente, a chiave asimmetrica; in quest'ultimo caso si fa ricorso a infrastrutture a chiave pubblica (PKI) e all'uso di certificati digitali.

[modifica] Authentication Header

[modifica] Descrizione

L'Authentication Header (abbreviato AH), è un protocollo che fa parte della suite IPsec. Il suo compito è quello di fornire un controllo di integrità pacchetto per pacchetto, verifica dell'autenticità del mittente e protezione contro i replay-attack. Facciamo notare che AH non garantisce in alcun modo la confidenzialità del messaggio.
L'autenticità è garantita tramite funzioni di hash a chiave simmetrica, ossia tramite il meccanismo delle pre-shared keys. Per poter comunicare, due entità devono condividere la medesima chiave; tale chiave viene combinata con il messaggio originale e quindi viene calcolata la checksum tramite una funzione di hash crittografico(MD5 o SHA). Il messaggio e la checksum vengono, infine, inviati al peer remoto. Il peer remoto riceve il messaggio; dato che questo è in chiaro, lo può leggere, combinare con la chiave di cui è a conoscenza e calcolare la checksum. Se la checksum corrisponde a quella inviata, il messaggio è autentico e viene accettato altrimenti viene scartato in quanto è stato modificato in un modo non consentito dallo standard.
Il protocollo AH è progettato per proteggere l'intero pacchetto IP inviato; tuttavia bisogna considerare che alcuni campi dell'header IP, come il TTL, variano durante la trasmissione; queste modifiche devono essere necessariamente consentite, per cui prima di calcolare la checksum, i campi cui è permesso variare vengono posti a 0.

[modifica] Formato del pacchetto

Di seguito viene illustrata la struttura del pacchetto AH (ogni casella rappresenta 1 byte).

0	1	2	3
Header successivo	Dimensione Payload	RISERVATO
Security Parameter Index (SPI)
Numero di Successione
Dati per l'autenticazione (lunghezza variable)

Header successivo

Indica che tipo di protocollo verrà dopo.

Dimensione Payload

Indica la dimensione del pacchetto AH, calcolata in parole di 32 bit.

RISERVATO

Spazio lasciato per sviluppi futuri. Tutti i bit di questo campo vengono impostati a 0.

Security Parameter Index

Questo campo identifica i parametri di sicurezza in combinazione con l'indirizzo IP. In genere è un numero pseudo-casuale che identica la security association cui fa parte questo pacchetto.

Numero di successione

Una successione di numeri monotonicamente crescenti che serve ad impedire i replay-attack.

Dati per l'autenticazione

Contiene le informazioni necessarie ad autenticare i dati.

[modifica] Transport mode e Tunnel mode

AH supporta nativamente sia il transport mode che il tunnel mode. In transport mode vengono protetti solo i protocolli di livello superiore a quello di rete (TCP, UDP, etc); in tunnel mode il pacchetto IP originale viene incapsulato in un nuovo pacchetto IP, dopo essere stato elaborato da AH. Ne spieghiamo il funzionamento con l'ausilio di alcuni disegni. Il metro di confronto è senza dubbio il pacchetto IP originale; in presenza di un collegamento basato su IPsec il pacchetto viene, ovviamente, alterato.

Header IP

Header TCP

Dati

Pacchetto IP originale

A seconda della modalità di funzionamento di IPsec (tunnel mode o transport mode), il pacchetto originale viene alterato in modo diverso.

Header IP

Header AH

Header TCP

Dati

dati autenticati

AH in transport mode

Header IP esterno

Header AH

Header IP

Header TCP

Dati

dati autenticati

AH in tunnel mode

La linea azzurra indica le zone del pacchetto che sono autenticate. Dal punto di vista della protezione, in entrambi i casi, i pacchetti vengono protetti completamente. Notiamo che nell'header IP, alcuni campi variano durante il transito nella rete, ad esempio il TTL. Questi campi vengono posti a 0 prima di calcolare la funzione di hash, necessaria per la protezione del pacchetto. Da quanto appena detto si evince subito che il protocollo AH è incompatibile con le varie tecniche di NAT; difatti se vengono alterati i campi indirizzo nell'header IP (in entrambe le modalità), in ricezione la checksum fallisce subito.

[modifica] Encapsulating Security Payload (ESP)

[modifica] Descrizione

Encapsulating Security Payload, denotato con l'acronimo ESP, è un protocollo che fa parte della suite IPsec. Il suo obiettivo è fornire confidenzialità e controllo di integrità e autenticità alla comunicazione. Contrariamente a quanto fa AH, l'header IP non viene coperto dai controlli. Al pari di AH, però, supporta sia il tunnel mode che il transport mode.

[modifica] Formato del pacchetto

Di seguito viene riportato il formato del pacchetto ESP (ogni casella rappresenta 1 byte).

0	1	2	3
Security Parameters Index (SPI)
Sequence Number
Payload * (variable)
	Padding (0-255 byte)
		Pad Length	Next Header
Authentication Data (variable)

Security Parameters Index (SPI)

Al pari di quanto avviene in AH, questo campo, in combinazione con l'indirizzo IP, individua la Security Association cui appartiene il pacchetto.

Sequence Number

Una successione di numeri monotonicamente crescente, che identifica il pacchetto all'interno delle Security Association e previene da replay-attack.

Payload

I dati che devono essere trasferiti

Padding

È un campo di riempimento. È necessario in quanto alcuni codici di cifratura lavorano su blocchi di lunghezza fissa. Serve a far crescere la dimensione dei dati fino a divenire multiplo del blocco che l'algoritmo in uso riesce a gestire.

Pad Length

Rappresenta, in bit, la dimensione dei dati di padding aggiunti.

Next Header

Identifica il protocollo dei dati trasferiti

Authentication Data

Contiene i dati usati per autenticare il pacchetto.

Come si può vedere dalla struttura del pacchetto (ma sarà illustrato meglio in seguito), ESP "avvolge" i dati dei protocolli di livello superiore, contrariamente a quanto fa AH che antepone un header.

[modifica] Tunnel mode e Transport mode

Essendo un protocollo per il trasferimento dati della suite IPsec, ESP supporta sia il Tunnel mode che il Transport mode. A seconda della modalità tratta i dati in modo differente. Prima di descrivere l'incapsulamento dei dati mostriamo il pacchetto IP originale, che transiterebbe sulla rete in assenza di IPsec

Header IP

Header TCP

Dati

Pacchetto IP originale

Header IP

Header ESP

Header TCP

Dati

Trailer ESP

ESP auth

Dati autenticati

ESP in Transport mode

Header IP

Header ESP

Header IP interno

Header TCP

Dati

Trailer ESP

ESP auth

Dati autenticati

ESP in Tunnel mode

Le linee azzurre sottendono la parte di pacchetto che viene sottoposta a controllo di autenticità e integrità; le zone verdi indicano le zone di pacchetto che vengono protette tramite algoritmi crittografici. Per quanto riguarda gli algoritmi di cifratura possono essere utilizzati Data Encryption Standard (DES), 3DES, AES e Blowfish. Il controllo di integrità e autenticità viene eseguito tramite HMAC (funzioni di hash); l'hash viene calcolato tramite una funzione di hash (MD5 o SHA1), utilizzando una chiave condivisa; l'hash ottenuto viene allegato al messaggio e inviato. In ricezione viene controllata l'integrità del messaggio. Dagli schemi visti prima si nota che l'indirizzo IP più esterno non viene coperto dal controllo di integrità. Tale opzioni rende il protocollo ESP adatto ad essere utilizzato in alcuni tipi di NAT, in particolare in quelli statici. Tuttavia esistono soluzioni ad-hoc per il funzionamento congiunto di IPsec e NAT come il NAT Traversal.

[modifica] NAT Traversal

[modifica] Descrizione

NAT traversal (o più in breve NAT-T) è il nome di un protocollo facente parte della suite IPsec e standardizzato in diversi RFC, di cui quello ufficiale è RFC 3947. L'obiettivo di questo protocollo è fornire la possibilità di stabilire un tunnel IPsec anche quando uno dei due peer coinvolti subisce un'operazione di nat per raggiungere l'altra entità coinvolta nella comunicazione.

[modifica] Scenario

Il NAT è una tecnica molto utilizzata per il riuso degli indirizzi IP. Tuttavia gli host dietro un router (o un firewall) che effettua operazioni di NAT non godono di connettività end-to-end. Sebbene esistano diversi tipi di NAT, l'obiettivo generale è l'alterazione degli header del pacchetto. Questo comportamento è in netto contrasto con IPsec che ha tra i suoi obiettivi il controllo dell'integrità del pacchetto. In particolare il NAT è incompatibile con AH sia in tunnel mode che in transport mode, in quanto AH verifica l'integrità di tutto il pacchetto IP. ESP, invece, non copre l'header IP con controlli di sorta né in Tunnel mode né in Transport mode, per cui risulta adatto nel caso in cui il nat eseguito sia di tipo SNAT; in altre parole, la modifica apportata dal router deve coinvolgere solamente l'header IP e non anche la porta del livello superiore.

Il NAT crea problemi anche con IKE e soprattutto con IKE in main mode. Il main mode usato congiuntamente al metodo delle preshared-keys richiede l'autenticazione degli host coinvolti nella comunicazione e tale autenticazione prevede un controllo sugli indirizzi IP; per cui l'alterazione dell'indirizzo da parte di un apparecchiatura di NAT provoca il fallimento dell'autenticazione.

In genere, nei dispositivi preposti alla gestione dei tunnel IPsec e nei client VPN, il NAT-T non è abilitato di default ma deve essere impostato a mano; tuttavia il suo utilizzo rimane opzionale: difatti durante la creazione della security association, i peer determinano se uno dei due subisce operazioni di NAT e solo in questo caso viene usato il NAT-T; questa operazione viene fatta durante la prima fase della negoziazione IKE. In prima battuta, i peer verificano che entrambi siano in grado di supportare in NAT-T; questa verifica è eseguita nella primissima fase del protocollo IKE, per mezzo di un pacchetto con un campo Vendor-ID, che contiene un valore hash noto.
Una volta stabilito che entrambi supportano il NAT-T, vengono inviate delle frame "NAT-Discovery" (NAT-D), in modo da verificare chi dei due subisca il NAT, o al limite se lo subiscano entrambi.
Una volta stabilito chi subisce il NAT, la comunicazione si sposta su una nuova coppia di porte UDP e l'entità "nat-tata" comincia a inviare delle frame keepalive; queste frame servono a mantenere fisse le porte di comunicazione sul router e ad impedirgli di riassegnarle ad una nuova comunicazione.

Descriviamo come viene incapsulato il pacchetto originale ESP.

Header IP

Header ESP

Header IP interno

Header TCP

Dati

Trailer ESP

ESP auth

ESP in Tunnel mode

Header IP

Header UDP

Header NAT-T

Header ESP

Header IP interno

Header TCP

Dati

Trailer ESP

ESP auth

ESP in Tunnel mode con incapsulamento UDP per NAT-T

I campi segnati in verde scuro sono quelli relativi al NAT-T; questi campi vengono inseriti subito dopo l'header IP esterno, che non viene alterato, così come non vengono alterati i campi successivi. In ricezione viene fatta l'operazione inversa.

[modifica] Elenco degli RFC relativi ad IPsec

RFC 2401

Security Architecture for the Internet Protocol

RFC 2402

Authentication Header

RFC 2406

Encapsulating Security Payload

RFC 2407

IPsec Domain of Interpretation for ISAKMP (IPsec DoI)

RFC 2408

Internet Security Association and Key Management Protocol (ISAKMP)

RFC 2409

Internet Key Exchange (IKE)

RFC 2410

The NULL Encryption Algorithm and Its Use With IPsec

RFC 2411

IP Security Document Roadmap

RFC 2412

The OAKLEY Key Determination Protocol

RFC 3947

Negotiation of NAT-Traversal in the IKE

[modifica] Collegamenti esterni

• http://www.ipsec-howto.org/italian/x151.html
  
• IPsec e TLS a confronto: funzioni, prestazioni ed estensioni
• How to pass IPSec traffic through ISA Server