הגנה - שקפי הרצאה

מסמכים קשורים
הגנה - שקפי תרגול

מבוא למדעי המחשב

הגנה - שקפי הרצאה

Real Time College Course: Networking Duration: 90 Hours Hands-On-Training

Microsoft PowerPoint - meli-iso.ppt

Office 365 ProPlus בחינם לסטודנטים באוניברסיטת בן גוריון בנגב הוראות סטודנטים באוניברסיטת בן גוריון בנגב יכולים להוריד ולהתקין את חבילת התוכנה Office

Title

הסבר על HSRP, VRRP, GLBP

מקביליות

Microsoft Word IG Lab - Configure Wireless Router in Windows Vista.docx

Disclaimer מסמך זה הינו סיכום און-ליין של השיעור ולא עבר עריכה כלל. מצאת טעות? שלח/י לי מייל ואתקן: 07/05/2009 קורס: מערכות ה

קריפטוגרפיה - חלק ג' מאת אופיר בק הקדמה כמנהג הסדרה, לפני שנתקדם לתוכן המאמר, אכריז על הפותר של החידה מהמאמר הקודם: אדווין כהן. הטקסט המוצפן היה - L'a

Microsoft Word - Ass1Bgu2019b_java docx

תוכנית לימודים להתמחות תכנון ותכנות מערכות הגנת סייבר

ת'' מדריך לבעלי תיבה קיימת במופ ומשתמשים ב Outlook 2003 או doc.2007 לפני שניגש להגדיר את תיבת המייל החדשה, נבצע גיבויי של המיילים ופנקס הכתובות מהחשבו

הסבר על תעודות אבטחה SSL Certificate,איזה Swtich \ Router מחוברים לSwitch בו אתם נמצאים, הסבר על CDP ועל LLDP

Slide 1

שעור 6

Bitlocker_TC

PowerPoint Presentation

DCA & A/B Testing

הטכניון מכון טכנולוגי לישראל אלגוריתמים 1 )443432( סמסטר חורף הפקולטה למדעי המחשב תרגול 9 מסלולים קלים ביותר תרגיל APSP - 1 עד כה דנו באלגור

מקביליות

פקולטה: מחלקה: שם הקורס: קוד הקורס: מדעי הטבע מדעי המחשב ומתמטיקה מתמטיקה בדידה תאריך בחינה: _ 07/07/2015 משך הבחינה: 3 שעות סמ' _ב' מועד

PowerPoint Presentation

מערכות הפעלה

תרגול 1

תוכנה חופשית מאחורי הקלעים? על סדר היום: קצת על עצמי מה זאת תוכנה חופשית? ההיסטוריה של תוכנה חופשית כיצד תוכנה חופשית משתלבת בשוק התוכנה היתרונות של ת

תרגול מס' 7 – חזרה על MST ואלגוריתם Dijkstra

שאלהIgal : מערכים דו מימדיים רקורסיה:

מבוא למדעי המחשב - חובלים

הסבר על Firewall והתקנת pfsense,הגדרת תעודת אבטחה ב VestaCP בחינם

Microsoft Word - Document1

מערכות הפעלה קורס מס'

PowerPoint Presentation

מבחן סוף סמסטר מועד ב 28/10/08 מרצה אחראית: דר שירלי הלוי גינסברג מתרגלים: גלעד קותיאל, גדי אלכסנדרוביץ הוראות: א. בטופס המבחן 6 עמודים (כולל דף זה) ו

(Microsoft Word - SQL\353\351\345\345\365 \341\361\351\361 \360\372\345\360\351\355 \ doc)

Exam_A_final

פתרון מוצע לבחינת מה"ט ב_שפת c מועד ב אביב תשע"ט, אפריל 2019 מחברת: גב' זהבה לביא, מכללת אורט רחובות שאלה מספר 1 מוגדרת מחרוזת המורכבת מהספרות 0 עד 9.

אוניברסיטת חיפה החוג למדעי המחשב מרצה: שולי וינטנר מתרגלים: נעמה טוויטו, מחמוד שריף מבוא למדעי המחשב סמסטר א' תשע"ב בחינת סיום, מועד א', הנחי

- איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay מאת מרינה סימקוב וירון זינר, תורגם ע י צפריר גרוסמן הקדמה בעדכונים הקבועים של מיקרוסופט ב

מבוא לתכנות ב- JAVA תרגול 7

Electronics Programs Youd Dalet

מבוא למדעי המחשב

F9K1106v1 מגדיל טווח אלחוטי דו-ערוצי מדריך למשתמש Rev. A01 Range Extender 1

שאלהIgal : מערכים דו מימדיים רקורסיה:

סרגל כלים ל-Outlook או לExplorer- מדריך למשתמש

תוכן העניינים

תוכן העניינים

מבוא למדעי המחשב - חובלים

שבוע 4 סינטקס של HACK ASSEMBLY ניתן להשתמש בשלושה אוגרים בלבד:,A,D,M כולם בעלי 16 ביטים. M אינו אוגר ישיר- הוא מסמן את האוגר של ה RAM שאנחנו מצביעים ע

מבוא ללוגיקה ולתורת הקבוצות

אוניברסיטת חיפה החוג למדעי המחשב.5.6 מבוא למדעי המחשב סמסטר א' תשע"ז בחינה סופית מועד א', מרצה: שולי וינטנר מתרגלים: סמאח אידריס, ראמי עילבו

תכנות דינמי פרק 6, סעיפים 1-6, ב- Kleinberg/Tardos סכום חלקי מרחק עריכה הרעיון: במקום להרחיב פתרון חלקי יחיד בכל צעד, נרחיב כמה פתרונות אפשריים וניקח

הסבר והגדרת Cisco NTP ומהו Stratum,הסבר על DHCP על DHCP Relay Agent והגדרת IP Helper,הגדרת DHCP בCisco Router,הסבר על IPv6,הסבר על Switch Virtual Inte

ג'ובוקיט החזקות בע"מ מצגת שוק ההון הצגת אסטרטגיה עסקית אוגוסט 2016

290/402//3 המרתמשובשערעולמילקייםמתקןחדשלתקןקיים רקע: קיימיםארבעהמקורותאפשרייםלמיפוילמסרהמשוב: כשהמסרנקלט עלפיהסכימההמתוארתבמסמךהAPIשלכל מסרומסראליומתי

People. Partnership. Trust מסלול Free פורטל החינוך מבית U-BTech מסלולים ומחירים חיבור לשירותי Office 365 ללא עלות פורטל התחברות הכולל ממשק למנב"ס ולסי

PowerPoint Presentation

TLP: White בלמ ס 1 26 מרץ 2019 י"ט אדר ב תשע"ט סימוכין : ב - ס 875- המלצות הגנה בסייבר לקראת פעילות " "OpIsrael רקע בתאריך 7 לאפריל,2019 ובימים שלפניו

מגדיל טווח דו-ערוצי N300 F9K1111v1 מדריך למשתמש Rev. A00 Wi-Fi RANGE EXTENDER 1

מדריך להתקנת Code Blocks מדריך זה נועד לתאר את תהליך התקנת התוכנה של הקורס "מבוא למחשב שפת C". בקורס נשתמש בתוכנת Code::Blocks עם תוספת )אשף( המתאימה

תאריך פרסום: תאריך הגשה: מבנה נתונים תרגיל 5 )תיאורטי( מרצה ומתרגל אחראים: צחי רוזן, דינה סבטליצקי נהלי הגשת עבודה: -את העבודה יש לה

תכנון אלגוריתמים עבודת בית 4: תכנון אלגוריתמים תאריך הגשה: 02: , בצהריים,תא מספר 66 בקומת כניסה של בניין 003 מתרגל אחראי: אורי 0

מבוא לתכנות ב- JAVA תרגול 11

מבחן 7002 פרטים כלליים מועד הבחינה: בכל זמן מספר השאלון: 1 משך הבחינה: 3 שעות חומר עזר בשימוש: הכל )ספרים ומחברות( המלצות: קרא המלצות לפני הבחינה ובדי

מדריך למרצים ומתרגלים 1

Slide 1

מבוא לאסמבלי

מהוא לתכנות ב- JAVA מעבדה 3

Microsoft PowerPoint - Lecture1

תוכנית לימודים להתמחות הגנת סייבר מהדורה רביעית צוות תוכנית הלימודים מהדורה שלישית כתיבה ועריכה )לפי סדר א"ב( תומר גלון צוות תוכנית הלימודים מהדורה שנ

Slide 1

Cloud Governance הכלי למזעור סיכונים ומקסום התועלת העסקית

<4D F736F F D20E7E5F7E920E0E9EEE5FA20E1E8E1ECE42E646F63>

תכנון אלגוריתמים, אביב 1021, תרגול מס' 4 תכנון דינאמי תכנון דינאמי בתרגול זה נדון בבעיית הכפלת סדרת מטריצות (16.1.(CLR ראשית נראה דוגמא: דוגמא: תהינה

מדריך להתחלה מהירה Microsoft Project 2013 נראה שונה מגירסאות קודמות, ולכן יצרנו מדריך זה כדי לעזור לך ללמוד להכיר אותו. סרגל הכלים לגישה מהירה התאם אי

People. Partnership. Trust שלבי הפרויקט והמסלולים השונים - פלטפורמת "קהילה לומדת" מסלול Free שלבי הפרויקט: חיבור לשירותי Office 365 ללא עלות פורטל התח

Microsoft Word - Sol_Moedb10-1-2,4

PowerPoint Presentation

אוניברסיטת חיפה החוג למדעי המחשב מבוא למדעי המחשב מועד א' סמסטר ב', תשע"ג, משך המבחן: שעתיים וחצי חומר עזר: אסור הנחיות: וודאו כי יש בידיכם

מספר מחברת: עמוד 1 מתוך 11 ת"ז: תשע"א מועד ב סמסטר א' תאריך: 00:11 שעה: 0 שעות הבחינה: משך כל חומר עזר אסור בשימוש בחינה בקורס: מבוא למדעי ה

תרגול מס' 1

Microsoft Word - c_SimA_MoedB2005.doc

Microsoft Word - tips and tricks - wave 5.doc

Microsoft Word - tutorial Dynamic Programming _Jun_-05.doc

מקביליות

Microsoft Word ACDC à'.doc

תכנות מונחה עצמים א' – תש"ע

שיעור 1

מבוא למדעי המחשב

סדנת חזון משאבי אנוש

מדיניות פרטיות לאפליקציית שירות - MY OPEL

קומסיין בע"מ

פייתון

תרגיל בית מספר 1#

שואב אבק רובוטי XIAOMI דגם - Vacuum Mi Robot מק"ט ספק 8223 תכנון מסלול חכם שאיבה חזקה שליטה חכמה ע"י Wi-Fi מרחוק בעל 21 חיישנים למיפוי מושלם של הבית צ

תוכן העניינים: פרק צמצומים ומימושים של פונקציות בוליאניות... 2 צמצומים של פונקציות באמצעות מפת קרנו:...2 שאלות:... 2 תשובות סופיות:... 4 צמצום

תמליל:

פרק 8 הגנה בשכבת הרשת IPsec הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 1

מבוא פרוטוקולי אבטחה הם חלק ממגוון כלי האבטחה של הרשת שכוללים בין היתר: חומות אש המספקות הגנה הקפית על מחשבים הנמצאים בתוך הרשת המוגנת מפני תקיפות מחוץ לרשת end device תוכנות סריקה על ה - Malware prtectin מפני התקפות מתוך הרשת security - DNS אבטחה מפני אתרים חשודים פרוטוקולי אבטחה נועדו להגן על נתונים הנכנסים ויוצאים מהרשת לספק סודיות, שלמות, אימות השולח למנוע התקפות שכלי אבטחה אחרים לא מסוגלים להגן כנגדן למשל, חטיפת הקשר ו- attack Syn דוגמאות SSL/TLS, WEP/WPA, IPsec הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 2

באיזו שכבה להוסיף שירותי אבטחה? הגדרה: נאמר שפרוטוקול אבטחה עובד בשכבה כלשהי אם הוא מגן על המידע של השכבות שמעל אותה שכבה לדוגמא הוספת הגנה בשכבת הרשת: Applicatin TCP UDP IP MAC Applicatin TCP UDP IPsec IP MAC הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 3

פרוטוקול אבטחה בשכבת MAC ניתן לספק סודיות, שלמות ואימות השולח תלוי מדיה פיסית hp by hp לא קצה לקצה מגן על החלק הגדול ביותר מה- datagram כלומר בין כל שתי שקוף ל- IP ומעלה כי כל תחנה שמטפלת מורידה את שכבות MAC דוגמאות: WEP ו- WPA נקודות בניתוב צריך להחליף את שכבות ההגנה. ההגנה Applicatin TCP IP WEP 802.11 UDP שכבת MAC ה- בשכבת הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 5

MACSEC IEEE 802.1AE Link level, switch t switch authenticatin and encryptin הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 6

Why MACSEC is ppular in the clud? הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 7

Cnnectin verhead הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 8

פרוטוקול אבטחה בשכבת התובלה ניתן לספק השולח סודיות, שלמות, שידור נגד הגנה חוזר ואימות Applicatin SSL/TLS TCP UDP IP MAC ניתן לספק end t end איננו משבש בדיקות של firewalls איננו מגן כנגד התקפות על שכבות התובלה כדוגמת Syn attack שקוף לאפליקציה דוגמאות: SSL, TLS שכבת התובלה הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 9

אבטחה בשכבת האפליקציה ניתן לספק סודיות, חוזר ואימות השולח איננו פוגע בניתוב שלמות, אי-הכחשה, הגנה מסופק end t end איננו משבש בדיקות של firewalls איננו מגן כנגד התקפות כדוגמת Syn attack מחייב שינוי/עדכון האפליקציה שידור נגד Secure Applicatin TCP IP MAC UDP דוגמאות: PGP, SSH שכבת האפליקציה הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 10

Multi layered Encryptin הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 11

Multi layered Encryptin הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 12

IP Security Prtcl פרוטוקול פרוטוקול לאבטחת תקשורת באינטרנט בשכבת הרשת משולב ב- TCP/IP ובדרייברים של TCP/IP IPsec מסוגל לספק את שירותי האבטחה הבאים סודיות שלמות ואימות השולח הגנה כנגד שידור חוזר מזעור החשיפה ל- attack Syn הגנה נגד sessin hijacking ע "י הצפנה ו/או אימות הגנה כנגד DS )במקרים מסוימים( הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 13

ארכיטקטורת IPsec IPsec כולל את הפרוטוקולים הבאים שני תתי פרוטוקולים לאבטחת תעבורת IP ESP מספק הצפנה ו/או אימות AH מספק אימות בלבד בשדה הפרוטוקול הבא בכותרת ה- IP רשום תת הפרוטוקול Authenticatin Header AH או Encapsulated Security Paylad ESP אין שם התייחסות ישירה ל- IPSEC פרוטוקול לניהול והחלפת מפתחות IKE ניתן להשתמש ב- IPsec בשני אופנים Transprt Mde Tunnel Mde הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 15

אופני התפעול של IPsec ב- IPsec באחד משני אופני תפעול ניתן להשתמש אפשריים: Transprt mde שני מחשבי הקצה מתקשרים ביניהם באמצעות IPsec באופן כלומר, בין אליס ובוב מוקם ערוץ IPsec ישיר Tunnel mde מיועד לחיבור רשתות פנימיות דרך gateways שמוסיפים IPsec השימוש ב- mde Tunnel בדר"כ לא נעשה ע"י מחשבי הקצה IPsec ומחשבי הקצה לא מודעים להפעלת IPsec מבחינת אליס ובוב, התקשורת ללא כלומר קיים קשר TCP/IP רגיל לא מוצפן IPsec מולבש עליו ע"י ה- gateways באופן שיתואר בהמשך הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 16

Transprt Mde מספק שירותי אבטחה מקצה לקצה end( )end t לכן, מחייב את שני הקצוות להפעיל את IPsec בעצמם כלומר, ה- stack TCP/IP בשני הקצוות צריכה לטפל ב- IPsec Applicatin Applicatin TCP UDP TCP UDP IPsec IP MAC Hst IPsec IP MAC Hst הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 17

ולאו דווקא ע"י Tunnel Mde מופעל ע"י,Security gateways משתמשי הקצה כלומר, ניתן למימוש באופן שקוף למשתמשי הקצה תכונה נוספת של אופן תפעול זה היא הסתרת כתובות ה- IP האמיתיות של מערכות הקצה, בזמן מעבר החבילה ברשת Applicatin TCP UDP IP Applicatin Prtected TCP UDP Data IP Prtected Data Applicatin TCP UDP IP IPsec IPsec New IP New IP MAC MAC MAC MAC Hst Security Gateway Security Gateway Hst הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 18

ה- Header IPsec Transprt mde מיקום Tunnel mde Applicatin TCP UDP IPsec IP MAC כפי שנשלח ע"י מחשב הקצה, מאובטח נוסף ע"י ה- gateway Applicatin TCP UDP IP IPsec IP MAC הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 19

מורכבות המנגנון לצורך כך יש להגדיר מדיניות מה להצפין מה לאמת על מה לא להגן עם IPsec איזה צפנים ופונקציות אימות מוסכמים עלינו לסכם על האלגוריתמים ולקבוע מפתחות משותפים ולתחזק מבני נתונים של מצב התקשורת עם מונה נגד שידור חוזר האלגוריתמים והמפתחות המוסכמים ועוד ולבדוק בכל חבילה שהכל תקין ושאף זייפן לא תיחמן את המקבל הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 20

הקמת ערוץ IPsec IPsec requires t establish Security Assciatin סטטי קביעה ידנית ע"י המשתמש דינמי ע"י IKE SA יצירת ערוץ מאובטח והחלפת מפתחות ארוכי טווח מפתחות אלה יכולים להיות מפתחות פומביים ( שי שימוש ב- PKI שמוגדר ע"י 509.X( או מפתחות סימטריים )מעין "סיסמה" משותפת( IPsec משתמש במפתחות סימטריים קצרי טווח לאימות והצפנה שנגזרים מהמפתחות ארוכי הטווח :IPsec SA החלפת פרמטרים )חד כווני( הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 21

דוגמא לתוכן SA לתעבורה נכנסת Index in the Incming SAD: SPI = 13 SA אצל אליס: מבוב לאליס Cntent: Surce IP address: 123.45.6.7 Destinatin IP address: 132.68.32.1 Prtcl = ESP, transprt mde Encryptin Alg.=AES-128, Integrity Alg. = HMAC-SHA256 Life time = 10 Min Bb s encryptin key = 0x764d6b4398541236ac55ae5573179835 Bb s integrity key = 0x945643baafe592537535fd67b7321547 Sequence number: 33, windw infrmatin= Alice SPI = 17 SPI = 13 Bb הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 22

דוגמא לתוכן SA לתעבורה יוצאת Index in the Outging SAD: SPI OUT = 3 SA אצל אליס: מאליס לבוב Cntent: Surce IP address: 132.68.32.1 Destinatin IP address: 123.45.6.7 Prtcl = ESP, transprt mde Encryptin Alg.=AES-128, Integrity Alg. = HMAC-SHA256 Life time = 10 Min SPI = 17 (index in Bb's table) Alice s encryptin key = 0xc20c07ab4d2ca5df3027a134d0409416 Alice s integrity key = 0x6cb3df613e590fa095cfa61bebbaf960 Sequence number: 20 Alice SPI = 17 SPI = 13 Bb הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 23

Security Assciatin היא כוללת בין השאר נתונים לגבי האלגוריתמים המשמשים להצפנה/אימות המפתחות הקריפטוגרפיים המשמשים להצפנה/אימות אורך חיים של ה- SA מונה מספר סידורי number( )sequence וגודל חלון ונתוני חלון הפרוטוקול ואופן התפעול Transprt Mde או Tunnel Mde,AH או ESP נתונים נוספים, כגון, זוג כתובות ה- IP של שני הצדדים בעלי ה- SA חלק מהיישומים שומרים ב- SA נתוני מדיניות כדי לחסוך זמן בקבלת חבילות )זוג( SA יכול לשמש לאבטחת sessin מסוים או כמה, או כל התקשורת בין זוג המדיניות שב- SPD SA רשומת מחשבים, מה- SPD הקשורים בהתאם ל- SA לקביעת הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 24

Security Assciatin Database כל מחשב שמותקן בו IPsec מחזיק מבנה נתונים SAD בו שמורים הפרמטרים הנדרשים לתקשורת מאובטחת מבנה נתונים זה מחזיק רשומות שנקראות SA Security Assciatin כל SA מחזיק את כל הנתונים הדרושים לקיים קשר חד-כיווני מבנה הנתונים SAD כך שלכל sessin יש שני SA עם מפתחות שונים לכל כיוון ה SAD- מחולק לשני חלקים טבלת SA לתעבורה יוצאת SAD Outging וטבלת SA לתעבורה נכנסת SAD Incming כל SA נשמר אצל שני הצדדים המתקשרים ב- SAD Outging של השולח וב- SAD Incming של המקבל הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 25

Security Parameter Index כל SA שמור גם אצל השולח וגם אצל המקבל במכונה המקבלת הוא שמור ב- SAD Incming לאינדקס SPI נקרא ערך זה יופיע בכותרת של החבילות ובמכונה השולחת הוא שמור ב- SAD Outging לאינדקס נקרא SPI OUT ערך זה ידוע רק לשולח ברשומת ה- SA שמור SPI גם ה- SPI )של הצד השני( כדי שהשולח יוכל להכניס אותו לכותרת החבילות SPI הוא מספר באורך 32 סיביות שמשמש כמצביע אל העותק של ה- SA אצל הצד המקבל הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 26

המחשה ל- SA ו- SPI Alice Bb Chris SPI 1 SA 13 Bb t Alice Incming SAD 21 Chris t Alice Outging SAD Incming SAD SPI SA 1 13 Chris t Bb 17 Alice t Bb Outging SAD SPI 1 SA 11 Bb t Chris Incming SAD 17 Alice t Chris Outging SAD SA SPI SA SPI SA SPI Alice t Bb 17 Alice t Chris 17 Bb t Alice 13 Bb t Chris 11 Chris t Alice הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 27 21 Chris t Bb 13

Security Plicy Database תפקיד ה- SPD לאכוף את המדיניות שנקבעה ע"י המשתמש בפרט לבחור את ה- SA ביציאת חבילה ולבדוק אותו בקבלת חבילה ואם כך קובעת המדיניות להרשות מעבר חבילות ללא IPsec מבנה הנתונים או שלא להרשות מעבר חבילות עם/בלי IPsec SPD ה- SPD כולל רשימה של חוקים שמוזנים על ידי המשתמש דומים לחוקי Firewalls כל חוק מורכב מ- selectrs ומפעולה Selectrs יכולים להיות כתובות,IP טווחים של כתובות,IP מספרי פורטים TCP/UDP ועוד הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 29

פעולה יכולה להיות: drp זרוק את החבילה frward העבר החבילה כפי שהיא ללא תוספת אבטחת IPsec IPsec החבילה צ"ל מוגנת ע"י secure ה- SAD Outging לחבילה יוצאת נסרק בדרישות בחבילה פעולות ב- SPD ל- SA -ים על פי סוג הפרוטוקול, סוגי הצפנים, וכו' ומוחזר SA כחלק מתשובת secure אם אין SA תואם, נקרא פרוטוקול IKE ליצירת ה- SA שמוחזר נכנסת, ה- SA של ה- SPI שבחבילה אם הוא תואם לדרישות ה- SPD מוחזר secure אם הוא לא תואם לדרישות מוחזר drp נבדק העומדים ניתן לביצוע יעיל ע"י caching של נתוני ה- SPD ב- SA הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 30

מבני הנתונים של IPsec IPsec משתמש בשני מבני נתונים: SAD Security Assciatin Data מכיל את האלגוריתמים ומפתחות סימטריים שבאמצעותם תאובטח התעבורה של שירות מסוים SPD Security Plicy Data מאפשר למשתמש לבחור את סוגי האבטחה שיינתנו לכל שירות ואת האלגוריתמים הקריפטוגרפיים שבאמצעותם הם ימומשו ה- SPD מוזן ע"י המשתמש הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 31

ביצוע עיבוד IPsec ביציאה לרשת p a c k e t 1 Security Plicy 5 2 IPsec (src, dest, ) 3 SPD SAD s e c u r e d p a c k e t drp, frward, r secure+sa 4 3' requirements SA IKE הערה: הציור מתאר את העברת המידע בין הרכיבים ומבני הנתונים השונים, ואינו כולל את הפעולות והבדיקות הנעשות בכל רכיב הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 32

הגישה ל- SPD עבור חבילות יוצאות ל- IKE ניגשים עם החבילה ל- SPD ה SPD- שולף SA תואם מה- SAD, או קורא שלוש תשובות אפשריות מה- SPD : drp זורקים את החבילה מעבירים את החבילה הלאה כפי שהיא מעבדים את החבילה בהתאם ל- SA הנתון frward secure + SA על פי ה- SA פונים לעיטוף AH או עיטוף,ESP וכן אופן תפעול transprt או tunnel הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 33

ביצוע עיבוד IPsec בכניסה מהרשת Security Plicy p a c k e t 1 SPD 4 (SPI, src, dest, ) drp, frward, r secure 5 IPsec 6 d e c d e d p a c k e t 2 SPI SA r drp 3 SAD הערה: הציור מתאר את העברת המידע בין הרכיבים ומבני הנתונים השונים, ואינו כולל את הפעולות והבדיקות הנעשות בכל רכיב הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 34

בדיקות ראשונות לחבילה שמוגנת ע"י IPsec ניגשים ל- SAD עם האינדקס SPI שבחבילה אם אין SA מתאים, זורקים את החבילה אינו תואם לחבילה אם תת הפרוטוקול )או אופן התפעול( הרשום ב- SA זורקים את החבילה אם כתובות ה- IP בחבילה שונות מהרשום ב- SA זורקים את החבילה מאמתים/מפענחים את החבילה ע"י תת הפרוטוקול המתאים השלמת הבדיקות ניגשים עם החבילה וה- SPI ל- SPD הגישה ל- SPD בודקת התאמה ביניהם והתאמה למדיניות ב- SPD תהליך עיבוד החבילה בכניסה כולל כתובות,IP פרוטוקול,UDP/TCP פורטים וכו' אם אין התאמה, מוחזר,drp וזורקים את החבילה גם אם מוחזר frward זורקים את החבילה )לא אמורה להיות מאובטחת( הבדיקות הללו לא יכולות להיעשות לפני הפענוח למשל הפרוטוקול והפורטים מוצפנים בתתי פרוטוקולים ללא הצפנה, מהרשת מעלים את החבילה לשכבה הבאה ניתן לעשות עם הבדיקות הראשונות הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 35

תהליך עיבוד החבילה בכניסה מהרשת אם החבילה אינה מוגנת ע"י IPsec למשל היא TCP או UDP בודקים ב- SPD אם מותר לקבל חבילה כזו לא מוגנת ע"י IPsec ואם לא )ה- SPD מחזיר drp או,)secure אז זורקים אותה הערה: ראינו בשקף הקודם שאם מגיעה חבילה שבכותרת שלה רשום שהיא מוגנת ב- IPsec, אבל ב- SPD כתוב שהיא לא צריכה, אז היא גם כן נזרקת הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 36

תתי פרוטוקולים לאבטחת תעבורת IP ל- IPsec שני תתי פרוטוקולים AH Authenticatin header מספק הגנה כנגד שידור חוזר, אימות כולל אימות של ה- header IP אינו מספק סודיות ושלמות ESP Encapsulating Security Paylad מספק סודיות, אימות, שלמות והגנה כנגד שידור חוזר ללא אימות של ה- header IP הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 37

תת הפרוטוקול בחירת תת הפרוטוקול נבחר אצל השולח: המדיניות הרשומה ב- SPD = secure הפרוטוקול הרשום ב- SA המקבל יודע איזה תת פרוטוקול הפרוטוקול הרשום בכותרת ה- IP הוא בודק שתת הפרוטוקול תואם ל- SA המשויך ל- SPI בחבילה, ושה- SA ותוכן החבילה תואמים למדיניות נבחר על פי תת הרשום הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 38

תת פרוטוקול AH Next prtcl IP header 32 bits Paylad length SPI Sequence number Reserved א י מ ו ת Authenticatin data (variable size) Paylad Data (upper layers) האימות כולל גם את כותרת IP הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 39

השדות בכותרות AH ה- AH SPI מצביע ל- SA אצל המקבל 32 סיביות Sequence number מונה שמשמש להגנה מפני שידור חוזר 32 סיביות אין לו קשר לשדה בעל אותו השם בכותרת TCP data Paylad המידע שעליו מגן ה- SA )באורך משתנה( Next prtcl מספר הפרוטוקול הבא באורך 8 סיביות האם הוא TCP, UDP Authenticatin data גודל השדה על פי הנדרש לפונקציית האימות שנבחרה ב- SA ה- MAC מחושב על שרשור של ה- header IP החיצוני, data וה- paylad header השדות ב- header IP החיצוני שמשתנים מאופסים לשם חישוב ה- MAC כמו כן מאופס השדה שיכיל את ה- MAC hp בכל )דוגמת ה- TTL ( הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 40

תהליך עיטוף ה SA- נבחר ביציאה כבר AH Encapsulatin ע"י AH ה- SPD אצל השולח בתהליך עיבוד החבילה שלוף את ה- SPI )כלומר האינדקס אצל המקבל( שלוף את ה- number Sequence מה- SA, והגדל באחד בניית ה- header AH בניה )מוקדמת( של ה- header IP בעזרת שכבת הרשת בה IPsec משולב חישוב ה- MAC תוך איפוס זמני של חלק מהשדות, כפי שתואר בשקף הקודם הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 41

ע) תהליך פתיחת AH Decapsulatin מציאת ה- SA "ס ה- SPI ( וביצוע כל הבדיקות על החבילה כפי שמפורט בתהליך עיבוד החבילה בכניסה אם בדיקה כלשהי נכשלת זרוק את החבילה בדיקת ה- number Sequence חישוב ובדיקת ה- MAC תוך איפוס זמני של חלק מהשדות אם בדיקה כלשהי נכשלת זרוק את החבילה אחרת, הגדל את ה- number Sequence ב- SA באחד כפי שנזכיר בהמשך בפועל IPsec מנהל חלון... המשך עיבוד על AH פי ה- prtcl Next אצל המקבל הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 42

trailer header תת פרוטוקול ESP IP header 32 bits SPI האימות אינו כולל את כותרת IP Sequence number IV (if needed) Paylad data (upper layers) Padding padding (0-255 bytes) Pad length Next prtcl א י מ ו ת ה צ פ נ ה Authenticatin data (variable size) הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 43

השדות בכותרות ESP חלק מהשדות דומים לאלה שב- AH SPI מצביע ל- SA אצל המקבל 32 סיביות Sequence number מונה שמשמש להגנה מפני שידור חוזר 32 סיביות data Paylad המידע שעליו מגן ה- SA )באורך משתנה( prtcl Next מספר הפרוטוקול הבא באורך 8 סיביות האם הוא TCP, UDP שדות נוספים: IV Initializatin vectr במידה שאלגוריתם ההצפנה( Padding ההצפנה זאת דורש )באורך במידה שדרוש, אם ה- SA מצפין בעזרת צופן בלוקים Pad length אורך ה- padding, מופיע תמיד )גם אם ערכו אפס( ע"י הנדרש 8 סיביות אלגוריתם הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 44

השדות בכותרות ESP שדה שמחושב אחרת מב- AH : Authenticatin data גודל השדה על פי הנדרש לפונקציית האימות שנבחרה ב- SA תוצאת MAC על המידע )datagram( ועל ה- header ESP כלומר, על כל החבילה מלבד שדה ה- data authenticatin עצמו כותרת ה- IP אינה מוגנת על ידי ESP יש אזהרה: גם אם אין זה חובה על פי התקן, לבצע אימות בכל הפעלה של ESP אחרת בטיחות הפרוטוקול אינה מובטחת הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 45

תהליך עיטוף ESP אצל השולח ה- SA נבחר כבר ע"י ה- SPD בתהליך עיבוד החבילה ביציאה שלוף את ה- SPI )כלומר האינדקס אצל המקבל( שלוף את ה- number,sequence והגדל באחד לצורך ההצפנה: קביעת ה- IV )אם נדרש( דיפון המידע )אם נדרש( שרשור ה- length Pad וה- number Next prtcl הצפנה באלגוריתם שנקבע ב- SA אם הצופן אינו null cipher חישוב האימות על הכל, פרט לערך האימות חישוב האימות הוא על התוכן המוצפן, כפי שנשלח לרשת האלגוריתם נקבע ב- SA שימו לב שכותרת ה- IP טרם נוצרה, ואינה מאומתת ב- ESP הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 46

ע) תהליך פתיחת ESP אצל המקבל מציאת ה- SA "ס ה- SPI ( וביצוע הבדיקות הראשונות שניתן לבצע ללא פענוח, כפי שמפורט בתהליך עיבוד החבילה בכניסה אם בדיקה כלשהי נכשלת זרוק את החבילה בדיקת ה- number Sequence בדיקת ה- MAC אם בדיקה כלשהי נכשלת זרוק את החבילה פענוח השלמת הבדיקות על החבילה שלא ניתן לבצע לפני הפענוח כפי שמפורט בתהליך עיבוד החבילה בכניסה אם בדיקה כלשהי נכשלת זרוק את החבילה הגדל את ה- number Sequence ב- SA באחד כפי שנזכיר בהמשך בפועל IPsec מנהל חלון... המשך עיבוד על פי ה- prtcl Next הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 47

סדר ההצפנה והאימות מחשבים על אימות ב- IPsec קודם המידע מוצפן, ואז המידע המוצפן סדר זה נקרא encrypt-then-authenticate להשוואה: ב- SSL האימות מחושב על הכתב הגלוי וההצפנה מבוצעת אחרי חישוב ערך האימות מקובל היום וחשוב לבדוק אימות לפני שמפענחים למשל, פיענוח של כתב סתר שאימותו טרם נבדק מידע במקרים מסוימים בפרט בתקשורת ברשת נחזור להעדיף את encrypt-then-authenticate אפילו אם אימות המידע אמור להיבדק בהמשך לזה עוד מעט... עלול להדליף הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 48

בדיקות, בדיקות, בדיקות שלושת העקרונות המנחים בבדיקות: לא מניחים כלום דוגמא: לא נותנים ל- SPD לנחש איזה SPI בשימוש בחבילה נכנסת אלא נותנים לו את ה- SPI לבדיקה, כי יש לתת חופש לשולח להחליף מפתחות דוגמא: בהינתן SPI חייבים לוודא שתת הפרוטוקול SA וששילוב החבילה וה- SA תואם למדיניות בחבילה מתאים ל- הבדיקות נעשות בשני חלקים מה שניתן לבדוק לפני הפענוח ומה שאפשר רק אחרי הפענוח הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 49

בדיקות, בדיקות, בדיקות אם יש ספק אז אין ספק. בדיקה נכשלת החבילה )אחרי )lgging כלשהי זורקים את אחרת תעבור חבילה משולח מזויף או תת פרוטוקול לא תואם או חבילה ממקור אחד שתטופל תחת SA של גורם אחר לדוגמא חבילות המתחזות להיות ממקור ממנו דרושים הצפנה ואימות שיכילו SPI של SA שאינו דורש הצפנה ו/או בדיקת אימות או שיהיה שימוש ב- SA של http לצורך telnet ממחשב שמותר לו,http אבל לא telnet או שמותר לו telnet מוצפן, אבל לא בלי הצפנה הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 50

כמו ב- TCP גם IPsec מחזיק חלון של sequence numbers המקבל מוכן לקבל חבילות כולל חבילות שטרם הגיעו למרות שהבאות אחריהן כן הגיעו בסיס החלון: ההודעה המאומתת הכי מתקדמת שהגיעה בו נשמר סימון הגעה )bitmap( בגודל החלון של הודעות יותר ישנות שהגיעו להשוואה ב- TCP בסיס החלון הוא ההודעה הכי ישנה שחסרה, ונשמרות ההודעות )עצמן( היותר חדשות שהגיעו בתחום החלון )לשם טיפול בעתיד( הטיפול בחלון אינו מערב את השולח אין ack הערה על אין שידור חוזר של חבילה חסרה לכן לא צריך לשמור כאלה בזיכרון, ולא לקבל אישורי הגעה הודעה בחלון שמספרה טרם הגיע מועברת מיידית צורך פחות משאבים מהמקביל שלו ב- TCP הודעות שנכשלות באימות הכרחי נגד DOS Sequence Number Windw נזרקות לפני ההשוואה אם הן בחלון ו- הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 51

הערה על Sequence Number ו- Windw IPsec מקדם חלון כשמגיעה הודעה מאומתת מימין לחלון i מחכה להודעה TCP p p p p p p p p p p i i+1 i+w-1 i+w TCP IPsec מעביר כל הודעה שמגיעה בחלון עם מספר שטרם הגיע )שומר bitmap של מי הגיע( TCP שומר הודעות שבחלון עד שיגיע תורן זורק הודעות מימין לחלון הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 52

אופני התפעול של IPsec הערות יתכן שעל אותה חבילה, בזמן הניתוב, מפעילים קודם את IPsec ב- mde transprt במחשב הקצה, ולאחר מכן מספר פעמים IPsec ב- mde tunnel ב- Security gateways שבדרך בדרך כלל מחשבי הקצה בשני האופנים Security gateways )hsts( מסוגלים להפעיל נדרשים לממש רק tunnel mde IPsec הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 53

IPv4 & IPv6 Figure 1. IPv4 and IPv6 Headers הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 54

IPv6 Extensin Header הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 55

AH header in IPv6 EH e הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 56

IPv6 and IPsec AH ו ESP הם EH בIPv6 כמו כל EH אחר כל צומת ברשת שתומכת ב IPv6 חייבת לתמוך בIPsec זה הההדל המשמעותי מהv4 הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 57

Few market realities עם ע"י IPsec משמש ככלי עיקרי עבור VPN במיוחד משולב מקרים בהרבה.gateway t gateway firewall runtime ב מיושם מאוד, פופולרי הופך TLS )לדוגמה: (penssl האפליקציה נותן end t end ברמת הscket Ggle מעלה את הדירוג של אתרי קל יותר ליישום, סיבה עסקית - HTTPS הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 58

תהי תקשורת IPsec כאשר אימות מבוצע בשכבת האפליקציה כלומר כל מידע שמגיע ליעד נבדק עם הצפנה בלבד ב- mde tunnel השאלה היא האם מפוענח מידע שעוזר ליריב? לא בהכרח המידע המפוענח צריך להגיע ליעד המקורי כדי לעזור לתוקף אבל אולי מגיע לתוקף דוגמא להתקפה כשאין אימות שכמובן לא יטרח לבדוק אימות... למה סתר כתב את שרוצים, בצפנים מסוימים ניתן לשנות אם יודעים את הכתב הגלוי למשל RC4 הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 59

תזכורת: IP כותרת 32 bits 128 bits Ver (4) H.Len TS Ttal Length Identificatin Flags Fragment Offset Time t Live Prtcl Header Checksum Surce Address Destinatin Address IP Header Optins Padding Data (upper layers) הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 60

דוגמא להתקפה כשאין אימות אז תהי תקשורת IPsec עם הצפנה בלבד ב- mde tunnel ב- TCP כאשר אימות מבוצע בשכבת האפליקציה וההצפנה ב- RC4, או AES באופן תפעול CBC והתוקף יודע מניין מגיעה ההודעה בהינתן חבילה שנשלחה, והוצפנה על ידי tunnel mde ה- IP בכותרת המקור של ה- IP כתובת את משנה התוקף המוצפנת על ידי tunnel mde לכתובת ה- IP של עצמו תוך שינוי של ה- CRC של כותרת ה- IP בהתאם )חישוב לינארי( שימו לב: זו הכתובת שבכותרת ה- IP הפנימית )המוגנת( התוקף משנה אותו אופן גם שדה ה- prtcl לערך שרירותי. הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 61

החבילה מגיעה לפענוח ב- mde tunnel ונשלחת מפוענחת משם ליעד מחשב היעד אינו יודע דבר על ההצפנה זה מטרת tunnel mde שכבת ה- IP במחשב היעד אינה מכירה את הערך בשדה ה- prtcl ולכן שולחת חזרה הודעת שגיאה ב- unreachable ICMP Prtcl לכתובת המקור המזויפת מקובל שהודעת השגיאה כוללת חלק מההודעה המקורית... דוגמא להתקפה כשאין אימות כלומר כתב גלוי נשלחת לכתובת המקור כלומר לכתובת המזויפת... חוקי ה- gateway אינם דורשים הצפנה לכוון התוקף ביציאה... ולכן התוקף מקבל פענוח של ההודעה בעוד מחשב היעד אינו יודע על כך דבר הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 62

רשת פרטית וירטואלית Virtual Private Netwrk (VPN) רשת פרטית וירטואלית )VPN( היא רשת הנבנית מעל רשת ציבורית )לדוגמא האינטרנט( באופן המשמר את פרטיות משתמשי ה- VPN הרעיון הוא שרק המשתמשים המורשים של ה- VPN מסוגלים לדבר אחד עם השני, ורק הם מסוגלים לשלוח ולקבל הודעות ב- VPN בדומה לרשת LAN פרטית שאיננה מחוברת לאינטרנט כלומר זוהי רשת פרטית, שממומשת מעל רשת ציבורית ומכאן החלק הווירטואלי בשמה הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 63

IPsec יישום VPN מעל Hst A Security Gateway Security Gateway Hst B Applicatin TCP UDP Prtected Data Prtected traffic Prtected Data Applicatin TCP UDP IP: Hst A Hst B IP: Hst A Hst B MAC IPsec IP: GW A GW B MAC Clear IP headers IPsec IP: GW A GW B MAC MAC Hst Security Gateway Security Gateway Hst הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 64

חיבור מהבית ל- VPN המחשב בבית מקבל כתובת פנימית Hst Bv של ה- VPN בנוסף לכתובת Hst B של החיבור שלו לרשת Hst A Security Gateway Hst B Applicatin TCP UDP Prtected Data Prtected traffic Applicatin Prtected TCP UDP Data IP: Hst A Hst Bv IP: Hst A Hst Bv MAC IPsec IP: GW A Hst B MAC Clear IP headers IPsec IP: GW A Hst B MAC Hst Security Gateway Hst הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 65

רקע על NAT Netwrk Address Translatin NAT הוא מנגנון שמאפשר לרשת גדולה לעבוד עם מספר קטן של כתובות IP כאשר אין לארגון מספיק כתובות חוקיות מאפשר גם מידה מסוימת של אנונימיות לגולש בתוך הרשת יעשה שימוש בכתובות IP "לא חוקיות" כאשר מחשב מהרשת הפנימית יוצר קשר עם האינטרנט החבילות בכל חוקית IP בכתובת כתובתו את מחליף NAT ה- היוצאות ה- NAT מחליף הכתובות בחזרה לכתובות ה"לא חוקיות" בחבילות נכנסות יכול להשתמש באותה כתובת IP חוקית להרבה מחשבים )תוך שינוי מספרי הפורטים( כלומר, NAT משנה את כותרות UDP,TCP,IP הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 66

החלפת כתובות ופורטים ע"י NAT 192.168.0.2, prt 2841 132.68.12.1, prt 1082 192.168.0.1, prt 1034 132.68.12.1, prt 1077 כתובות ה- IP והפורטים הרשומים הם כתובות ופורטי המקור הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 67

NAT Hst Applicatin TCP IP החלפת כתובות ופורטים ע"י UDP NAT Gateway 1034 80 1077 80 TCP/UDP 192.168.0.1 IP כתובות ופורטי מקור ויעד כתובות ופורטי מקור ויעד 132.68.12.1 Server Applicatin TCP IP UDP MAC החלפת כתובת MAC ופורט מקור MAC Applicatin TCP UDP IP MAC 1034 80 1077 80 TCP/UDP 192.168.0.1 132.68.12.1 IP החלפת כתובת ופורט יעד MAC Applicatin TCP UDP IP MAC הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 68

NAT בעיות בשילוב IPsec עם לא ניתן להשתמש ב- AH ב- mde transprt NAT כי האימות כולל את הכתובת המקורית ואם נשנה אותה האימות יכשל יחד ניתן להשתמש באימות ESP )ללא הצפנה( עם NAT כי אינו מאמת את כותרת ה- IP אבל זה דורש גרסה שונה מהרגיל של,NAT כי אי אפשר את מספרי הפורטים )הם מאומתים( אבל ESP עם הצפנה מהווה בעיה ל- NAT כי NAT אינו יודע מה הם מספרי הפורטים NAT גורם לבעיות רבות זוהי רק דוגמא אחת לבעיות אלו נוספות בהקשר של IPsec עם לשנות הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 69

סיכום IPsec מספק את שירותי האבטחה הבאים: סודיות ב- ESP תוך שימוש בהצפנה שלמות באמצעות MAC אימות השולח באמצעות MAC הגנה כנגד שידור חוזר באמצעות ה- number sequence בקרת גישה באמצעות דרישת ידיעת ה- SA המתאים לצורך תקשורת מזעור החשיפה ל- attack Syn מכיוון שתוקף אינו יכול לבצע IP spfing )ודרישת ידיעת ה- SA המתאים( הגנה נגד sessin hijacking ע"י הצפנה ו/או אימות הגנה כנגד DS מניעת IP spfing )ודרישת ידיעת ה- SA המתאים( הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 70

ניתן להשתמש ב- IPsec בכדי לאבטח תקשורת בין זוג hsts בין זוג security gateways בין לתקשורת בין מחשבים שברשתות שמאחוריהם security gateway ובין hst מספק את שירותי האבטחה בשכבת ה- IP IPsec הוא מאפשר למערכת לבחור בפרוטוקולים, שבעזרתם יאובטח כל שירות )Service( ולנהל את המפתחות הקריפטוגרפיים הדרושים IPsec משתמש בקריפטוגרפיה סימטרית ובאלגוריתמים והוא מסתמך על מנגנונים חיצוניים שיספקו לו את המפתחות מנגנונים אילו יכולים להיות ידניים, או אוטומטיים כולל פרוטוקול IKE סיכום אותו נראה בפרק הבא הגנה במערכות מתוכנתות )הגנה ברשתות( אביב תשע"ז 71