Italiano - Studio reti
Transcript
Italiano - Studio reti
Luglio 2007 Autenticazione e sicurezza: IEEE 802.1x, i protocolli basati su EAP, IPsec Pietro Nicoletti Studio Reti s.a.s piero[at]studioreti.it 802-1-X-2007 - 1 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1. Le slides possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione. Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L’informazione contenuta in queste slides è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slides (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione). In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slides. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. 802-1-X-2007 - 2 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Radius R.A.D.I.U.S.:Remote Authentication Dial-In User Service. Il Radius Server è di tipo AAA ed è usato per certificare gli utenti che chiedono accesso ad una rete, e ne autorizza l'accesso (solitamente tramite verifica di username e password). Utilizzabile anche per l'accounting. Basato su protocollo UDP. Porte assegnate: 802-1-X-2007 - 3 Authentication 1812/udp (1645/udp obsoleta), Accounting 1813/udp (1646/udp obsoleta). Prevede utilizzo di una chiave o password “secret” per autenticare server e autenticatore. © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IEEE 802.1x: generalità Port Base Network Access Control Obiettivo: Riprodurre sulle Switched LAN e LAN le condizioni di controllo tipiche dell’accesso Dial-Up dove è possibile abbattere la connessione dell’utente non autorizzato. Gli utenti devono essere connessi in modalità punto-punto all’apparato che supporta 802.1x a quelli autenticati e autorizzati viene permesso l’accesso alla rete quelli non autorizzati vengono sconnessi elettronicamente dalla porta Presente sugli switch e gli Access Point Wireless di ultima generazione 802-1-X-2007 - 4 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IEEE 802.1x: definizioni Autenticatore: E’ un’entità posta all’estremità di una connessione puntopunto di un segmento LAN che si occupa di autenticare l’entità posta l’estremità opposta. Server di autenticazione: E’ un’entità che fornisce i servizi di autenticazione ad un autenticatore. Il server determina, in base alle credenziali fornite dal supplicante, se questo è autorizzato ad accedere ai servizi forniti dall’autenticatore. La funzione di Server di autenticazione può essere colocata con quella di autenticatore oppure si può accedere ad essa attraverso la rete dove l’autenticatore ha l’accesso 802-1-X-2007 - 5 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IEEE 802.1x: definizioni Network Access Point: E’ una porta di connessione di un apparato denominato System alla LAN. La porta può essere: fisica come nel caso di uno switch; logica come nel caso di associazione tra una stazione e un Acccess Point in una rete WLAN. Port Access Entity (PAE): E’ un entità protocollare associata all’Autenticatore, al Supplicante o entrambi 802-1-X-2007 - 6 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IEEE 802.1x: definizioni Supplicante: E’ un’entità posta all’estremità di una connessione puntopunto di un segmento LAN che deve essere autenticata tramite l’Autenticatore posto all’estremità opposta. System: E’ un apparato che è connesso alla LAN tramite una o più porte (caso di aggregazione). Esempi di System sono: stazioni, Server ecc. 802-1-X-2007 - 7 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Autorizzazione e autenticazione: gli elementi coinvolti - 1 Il server di autenticazione (RADIUS) I protocolli di autenticazione EAP e EAPOL per le comunicazioni tra Server di Autenticazione, Autenticatore e Supplicante Le funzioni previste dallo standard 802.1x negli apparati di rete per permettere l’accesso alla rete da parte di stazioni 802-1-X-2007 - 8 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Autorizzazione e autenticazione: gli elementi coinvolti - 2 802-1-X-2007 - 9 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Comunicazione EAP - EAPOL e 802.1x PC (Supplicante) EAPOL (livello 2) Access Point o Switch (Autenticatore) EAP over RADIUS (livello 7) Server di autenticazione RADIUS Comunicazione EAP-EAPOL 802-1-X-2007 - 10 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Autenticatore e Port Access Entity (PAE) Nell’autenticatore l’entità di accesso alla porta (PAE): è responsabile della comunicazione tra il supplicante e il Server di autenticazione per stabilire le credenziali del supplicante, necessarie a permetterne l’accesso alla rete. Ogni punto di accesso, sia esso costituito da una porta fisica o logica, consiste in due entità di accesso: controlled port uncontrolled port 802-1-X-2007 - 11 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Uso di Controlled e Uncontrolled Port Uncontrolled Port è l’entità utilizzata per la scambio di pacchetti di servizio necessari per stabilire l’autorizzazione o il divieto di accesso 802-1-X-2007 - 12 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Porte autorizzate e non autorizzate 802-1-X-2007 - 13 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Acesso basato su autenticazione e indirizzo MAC La disabilitazione della porta basata sull’indirizzo MAC provoca la stato Unauthorized sulla Controlled port 802-1-X-2007 - 14 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 802.1x & 802.11: Autenticazione e Associazione 802-1-X-2007 - 15 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP & EAPOL 802-1-X-2007 - 16 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Protocollo EAP PPP Extensible Authentication Protocol (EAP) definito nella RFC 2284 Codice protocollo EAP = c227 Supporta meccanismi multipli di autenticazione senza aver bisogno di pre-negoziare un particolare meccanismo durante la fase LCP Originariamente PPP supportava solo autenticazioni basate su 802-1-X-2007 - 17 PAP (Password Authentication Protocol), codice protocollo c023 CHAP (Challenge Handshake Authentication Protocol), codice protocollo c223 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Trama EAP 1 2 3 4 802-1-X-2007 - 18 Request Response Success Failure © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP frame request e response Contengono le informazioni sulla tecnica di autenticazione 802-1-X-2007 - 19 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Protocollo EAPOL E’ l’implementazione del protocollo EAP su LAN (EAP Over LAN) L’header EAP viene incapsulato nella trama LAN 802.x La Port Access Entity utilizza le trame EAPOL nella comunicazione tra Autenticatore e Supplicante Le trame EAPOL vengono trasmesse all’indirizzo di gruppo 01-80-C2-00-00-03 Le trame EAPOL su Ethernet: il codice protocollo inserito nel campo Type è 88-8E PREAM. SFD DSAP SSAP Ottetti 7 802-1-X-2007 - 20 1 6 6 TYPE 88-8E 2 DATA FCS da 46 a 1500 4 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Codifica EAPOL su trame Ethernet V 2.0 Nelle trame EAPOL su Ethernet il codice protocollo inserito nel campo Type è 88-8E PREAM. SFD DSAP SSAP Bytes 7 1 6 6 TYPE 88-8E 2 DATA da 46 a 1500 Protocol Vers. Packet Type Packet body 01 H 802-1-X-2007 - 21 1 byte 00H 01H 02H 03H 04H FCS length 2 byte EAP-Packet EAPOL-Start EAPOL-Logoff EAPOL-Key EAPOL-Encapsulated-ASF-Alert. 4 Packet body © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Codifica EAPOL su trame 802.x Gli standard 802.x (a parte Ethernet V 2.0) codificano i protocolli nell’LLC Header della LLC-PDU DSAP 0AA SSAP CONTROL 0AA 03 Protocol Identifier 000000 OUI INFORMATION 88-8E Protocol Type Protocol Vers. Packet Type Packet body 01 H 802-1-X-2007 - 22 1 byte 00H 01H 02H 03H 04H length 2 byte EAP-Packet EAPOL-Start EAPOL-Logoff EAPOL-Key EAPOL-Encapsulated-ASF-Alert. Packet body © P. Nicoletti: si veda nota a pag. 2 Autenticazione iniziata all’autenticatore tramite scambio di one-time password, terminata con successo SUPPLICANT PAE AUTHENTICATOR PAE Luglio 2007 AUTHENTICATION SERVER EAPOL Frame EAP Frame 802-1-X-2007 - 23 © P. Nicoletti: si veda nota a pag. 2 Autenticazione iniziata all’autenticatore tramite scambio di one-time password, terminata senza successo SUPPLICANT PAE AUTHENTICATOR PAE Luglio 2007 AUTHENTICATION SERVER EAPOL Frame EAP Frame 802-1-X-2007 - 24 © P. Nicoletti: si veda nota a pag. 2 Autenticazione iniziata all’autenticatore tramite scambio di one-time password, terminata con successo e successivo logoff SUPPLICANT PAE AUTHENTICATOR PAE Luglio 2007 AUTHENTICATION SERVER EAPOL Frame EAP Frame 802-1-X-2007 - 25 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP e metodo di Autenticazione Cisco Microsoft Authentication Layer EAP Layer TLS EAP SIM TTLS PEAP EAP-FAST LEAP EAP EAPOL MAC Layer 802-1-X-2007 - 26 802.3 802.11 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Mutua autenticazione 802-1-X-2007 - 27 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 LEAP (Lightweight Extensible Authentication Protocol) Soluzione EAP-Cisco Wireless basata sull’invio di “username e password” tramite MS-CHAP senza lo scambio di certificati digitali Mutua Autenticazione Facile da configurare e da mettere in campo Limite: necessita di hardware Cisco o comunque di hardware che supporti l’autenticazione LEAP 802-1-X-2007 - 28 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Protocollo LEAP 802-1-X-2007 - 29 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP-FAST Soluzione Cisco più robusta rispetto a LEAP Mantiene il vantaggio come LEAP di non richiedere certificati digitali ed è quindi più semplice da realizzare rispetto ad altre soluzioni Limite: necessita di hardware Cisco o comunque di hardware che supporti l’autenticazione EAP-FAST Al bootstrap stabilishe una shared secret tra supplicante e authentication server denominata PAC (Protected Access Credential Key) che è una chiave-PAC a 32 bytes (256 bit) 802-1-X-2007 - 30 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP-FAST 802-1-X-2007 - 31 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP-TLS Mutua Autenticazione Basato su certificati per Server e Client Il server ha il certificato CA (Certification Authority) e il certficato del Server Il Client ha il certificato CA (Certification Authority) e il certficato del Client E’ necessario generare i seguenti certificati: CA Certificate Server Certificate Clients Certificates (uno o più) Ha il concetto di sessione e connessione La connessione è un canale dove una sessione è governata in un contesto sicuro 802-1-X-2007 - 32 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 authentication and non-repudiation tramite chiave privata e pubblica 802-1-X-2007 - 33 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 TLS Handshake 802-1-X-2007 - 34 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP-TLS Authentication 802-1-X-2007 - 35 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP-TTLS caratteristiche E’ simile a EAP-TLS Solo il server ha bisogno del certificato Il client può essere autenticato tramite altri metodi come: Username/Password CHAP, MSCHAPv2, MD5 802-1-X-2007 - 36 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 EAP-TTLS Authentication 802-1-X-2007 - 37 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Protected Extensible Authentication Protocol (PEAP) Indipendente dalla scheda di rete Necessita del solo certificato del Server, con il quale il Client controlla il Server Il server controlla il client su base Username Password Utilizzabile con Windows XP, Vista e Windows 2000 con opportuni aggiornamenti Opera in 2 fasi Fase 1: stabilisce un tunnel sicuro attraverso l’autenticazione EAP-TLS Fase 2: realizza l’autenticazione del supplicante basata sul metodo EAP e scambia altre informazioni specifiche del PEAP L’utente è certificato su base certificato CA e Username/Password MSCHAPv2 Lato server si installa il certificato CA e quello del Server 802-1-X-2007 - 38 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 PEAP 802-1-X-2007 - 39 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Sistemi di autenticazione a confronto 802-1-X-2007 - 40 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Esempio di configurazione di Cisco LEAP: 1o passo ************************** 802-1-X-2007 - 41 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Esempio di configurazione di Cisco LEAP: 2o passo 802.1X Protocol Version (for EAP Authentication): 802.1x-2001 Primary Server Reattempt Period (Min): Server Name/IP 172.130.1.124 Use server for: Server Type RADIUS EAP Authentication RADIUS Use server for: EAP Authentication RADIUS Use server for: EAP Authentication RADIUS Use server for: 802-1-X-2007 - 42 EAP Authentication 0 Port 1812 Shared Secret ************ MAC Address Authentication 1812 ************ MAC Address Authentication 1812 ************ MAC Address Authentication 1812 ************ MAC Address Authentication Retran Int (sec) 5 User Authentication 5 User Authentication 5 User Authentication 5 User Authentication © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Protected Extensible Authentication Protocol (PEAP) Esempio configurazione lato AP e server Cisco ACS 802-1-X-2007 - 43 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Radius Proxy 802-1-X-2007 - 44 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 WPA (WiFi Protected Access) Primo passo di miglioramento delle debolezze dell’algoritmo WEP Precursore dello standard 802.11i Adotta meccanismi di crittografia/decrittografia basati su TKIP Può operare in modalità Pre Shared Key (WPA-PSK metodo sconsigliato perché attaccabile) dove non c’è sistema di tipo 802.1x basato su server di autenticazione PSK può essere in formato asci o esadecimale WPA2 è la versione conforme allo standard 802.11i 802-1-X-2007 - 45 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IEEE 802.11i (WPA2) Standard denominato tipicamente WPA2 Obiettivi: Definisce dei meccanismi di autenticazione e sicurezza più robusti del WEP basati su CCMP e TKIP pur mantenendo la compatibilità col passato Introduce il concetto di Security Association in 802.11 e definisce i protocolli di security association management denominati: 4-Way Handshake e Group Key Handshake Specifica come impiegare 802.1x per le procedure di autenticazione nelle reti 802.11 Introduce il nuovo componente RSNA (Robust Security Network Association) nell’architettura 802.11 che definisce delle nuove funzioni di sicurezza in aggiunta a WEP 802-1-X-2007 - 46 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IEEE 802.11i (obiettivi) Ulteriori obiettivi: Pemettere un accesso relativamente sicuro anche su reti di piccole dimensioni (small office – home office) attraverso l’utilizzo di una Pre-Shared-Key (PSK) avente una lunghezza di 256 bit (64 ottetti in formato esadecimale) 802-1-X-2007 - 47 Chiave condivisa da AP e PC-Cards Per semplificare la configurazione degli apparati è posssibile utilizzare una pass-phrase basata su una sequenza di caratteri ASCI di lunghezza compresa tra 8 e 63 caratteri. Lo standard consiglia di usare una pass-frase che contenga almeno 20 caratteri altrimenti è troppo vulnerabile. © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 802.11i: RSNA (Robust Security Network Association) Caratteristiche di sicurezza definite da RSNA: Meccanismi di autenticazione delle stazioni migliori rispetto al passato Algoritmi di gestione delle chiavi Costituzione delle chiavi di crittografia Meccanismo di incapsulamento dei dati migliorato denominato CCMP = CTR with CBC-MAC Protocol CTR (counter mode) con il CBC-MAC Protocol [cipher-block chaining (CBC) with message authentication code (MAC)] CCMP obbligatorio perché un apparato sia considerato conforme allo standard 802.11i Meccanismo di incapsulamento dei dati opzionale basato su TKIP (Temporal Key Integrity Protocol) 802-1-X-2007 - 48 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 802.11i: modello di riferimento 802-1-X-2007 - 49 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 TKIP (Temporal Key Integrity Protocol) Soluzione che permette di cambiare la chiave WEP ad ogni pacchetto trasmesso Prevede tre meccanismi: MIC (Messagge Integrity Check) è un algoritmo che previene la modifica dei messaggi TSC (TKIP Sequence Counter) previene gli attacchi di tipo replay basati sul riutilizzo del vettore di inizializzazione utilizzando la chiave dopo averla craccata TEK (Temporal Encryption Key) è un algoritmo che serve come base per creare delle chiavi uniche per ogni pacchetto 802-1-X-2007 - 50 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Messaggio TKIP 802-1-X-2007 - 51 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Codifica TKIP 802-1-X-2007 - 52 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Decodifica TKIP 802-1-X-2007 - 53 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 CCMP (CTR with CBC-MAC Protocol) Basato sul recente algoritmo (1998) di crittografia AES (Advaced Encryption Standard) Abbandona l’algoritmo WEP Ha molte similitudini con TKIP Basato su due meccanismi CTR per gli aspetti segretezza e confidenzialità CBC-MAC per gli aspetti di autenticazione e integrità del messaggio 802-1-X-2007 - 54 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Messaggio CCMP PN = Packet Number 802-1-X-2007 - 55 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Codifica CCMP 802-1-X-2007 - 56 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Decodifica CCMP 802-1-X-2007 - 57 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Esempio di configurazione WPA2-Radius su Interfaccia Intel 2200 (parte 1a) 802-1-X-2007 - 58 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Esempio di configurazione WPA2-Radius su Interfaccia Intel 2200 (parte 2a) 802-1-X-2007 - 59 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Esempio di configurazione WPA2-Radius su Interfaccia Intel 2200 (parte 3a) 802-1-X-2007 - 60 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Esempio di configurazione WPA2-Radius su AP UsRobotics 802-1-X-2007 - 61 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Comparazioni tra: WEP, 802.1x, WPA e 802.11i 802-1-X-2007 - 62 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IPSEC Abbreviazione di IP Security, è un insieme di protocolli sviluppati dal IETF per permettere a livello IP lo scambio sicuro di pacchetti. IPSec è stato sviluppato per implementare le VPN (Virtual Private Networks) Modalità Trasporto: cripta solo la porzione dei dati (payload) di ogni pacchetto, ma lascia l'intestazione (header) immutata. Modalità Tunnel: cripta sia l'intestazione e il payload, incapsulando il tutto in un nuovo pacchetto. Più sicuro. IPSec necessita che sia il mittente che il ricevente condividano una chiave pubblica. Metodi di gestione chiavi (IKE) 802-1-X-2007 - 63 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IPSEC Le connessioni su reti TCP possono essere messe in sicurezza in diversi modi. 802-1-X-2007 - 64 Livello applicazione (mail criptata) Livello trasporto (TLS/SSL, SSH...) Livello fisico (black box cripta il traffico). IPsec mette in sicurezza le connessioni a livello di rete. © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Authentication Header (AH) Campo che viene aggiunto al pacchetto IP tradizionale. Assicura l'integrità e l'autenticazione dei pacchetti IP, senza la crittografia dei dati (ossia senza confidenzialità). Rende possibile per il ricevente controllare l'autenticità dei dati inclusi nel pacchetto. Mancanza di confidenzialità dei dati trasmessi Protezione anti-replay IP Header Data Authentication IP Header Header (AH) Data Autenticato 802-1-X-2007 - 65 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Encapsulating Security Payload (ESP) Assicura confidenzialità, ma fornisce anche autenticità dei dati. Il principio di ESP è di generare dal pacchetto tradizionale un nuovo pacchetto, in cui i dati originali sono crittografati Protezione anti-replay Nessuna protezione sull’header del pacchetto IP IP Header Data IP Header ESP Data ESP Autenticato Cifrato 802-1-X-2007 - 66 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 Internet Key Exchange e Security Association IKE: negoziazione delle policy per le comunicazioni protette Autenticazione della fase di scambio delle chiavi Negoziazione delle Security Association: 802-1-X-2007 - 67 Definizione degli end-point della comunicazione Algoritmi di cifratura utilizzati per l’autenticazione e per la cifratura Periodo di validità della SA (tempo o quantità di dati scambiati) © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IPsec modalità trasporto Indirizzo di sorgente “in chiaro” Informazioni protette IP Header IP Header IPSec Header Data Data Cifrato 802-1-X-2007 - 68 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IPsec modalità tunnel Mascheramento dell’indirizzo IP sorgente Protezione delle informazioni Possibilità di connessione tra LAN con indirizzo non congruente con quello della rete di trasporto IP Header New IP Header IPSec Header IP Header Data Data Cifrato 802-1-X-2007 - 69 © P. Nicoletti: si veda nota a pag. 2 Luglio 2007 IPSEC: alcune implementazioni FreeS/WAN (linux, unix) isakmpd (OpenBSD) McAfee VPN Client (PGPNet/McAfee). Microsoft Windows 2000/XP Cisco Symantec Enterprise Firewall. 802-1-X-2007 - 70 © P. Nicoletti: si veda nota a pag. 2