search query: @keyword cryptography / total: 20
reference: 6 / 20
| Author: | Muittari, Ari |
| Title: | Vulnerabilities in the Internet Key Exchange (IKE) Protocol |
| Internetin avaintenvaihtoprotokollan (IKE) haavoittuvuudet | |
| Publication type: | Master's thesis |
| Publication year: | 2004 |
| Pages: | xi + 84 s. + liitt. 26 Language: eng |
| Department/School: | Sähkö- ja tietoliikennetekniikan osasto |
| Main subject: | Tietoverkkotekniikka (S-38) |
| Supervisor: | Kantola, Raimo |
| Instructor: | Kohonen, Jussi |
| OEVS: | Electronic archive copy is available via Aalto Thesis Database.
Instructions Reading digital theses in the closed network of the Aalto University Harald Herlin Learning CentreIn the closed network of Learning Centre you can read digital and digitized theses not available in the open network. The Learning Centre contact details and opening hours: https://learningcentre.aalto.fi/en/harald-herlin-learning-centre/ You can read theses on the Learning Centre customer computers, which are available on all floors.
Logging on to the customer computers
Opening a thesis
Reading the thesis
Printing the thesis
|
| Location: | P1 Ark S80 | Archive |
| Keywords: | IKE IPsec cryptography security kryptografia tietoturva |
| Abstract (eng): | The purpose of this thesis is to find out whether it is feasible to successfully attack the Internet Key Exchange (IKE) protocol, which is a part of the IP Security (lPsec) protocol. This thesis studies the currently used version 1 of the IKE protocol, using the pre-shared key authentication method. The thesis explains network security concepts and constructs a model which links the concepts together to make it easier to understand their meaning. Cryptography plays a key role in network security; hence related cryptographic methods are reviewed. IPsec protocol is described in general terms. The IKE protocol is explained to the extent necessary for the reader to understand the attacks examined. A test environment is constructed to demonstrate the attacks on IKE. The test network consists of hosts, which are running a Unix operating system and have a freeware IPsec implementation, a test software and attack programs. It was found that only a few IKE attack programs are available on the Internet. These attack programs were analysed and found to be experimental in nature and not very useful for an average hacker. This thesis developed new, enhanced versions of the previous attack programs. The examined attacks are classified as follows: Discovery of IKE service, Denial-of Service attacks and authentication attacks. The attacks and the respective protection mechanisms of IKE are analysed. Most of the attacks are demonstrated in the test network using the attack programs that were developed. The results of the demonstrated attacks show that successful attacking on IKE is feasible, although it is rather demanding. IKE was found to be vulnerable to various Denialof-Service attacks, Man-In-The-Middle attacks and pre-shared key cracking attacks. The identified vulnerabilities have a direct impact on the attained availability and security of lPsec and they result from flaws in the IKE protocol or in its implementation. Protection measures against the examined attacks are suggested to reduce the harmful implications for security. |
| Abstract (fin): | Tämän diplomityön tarkoitus on tutkia Internetin avaintenvaihtoprotokollaa (IKE) vastaan tehtävien hyökkäysten toteuttamiskelpoisuutta. Tutkittava protokolla on Internetin tietoturvaprotokollan (IPsec) eräs osa. Työssä tutkitaan IKE protokollan nykyisin käytössä olevaa versiota 1 ja autentikointimenetelmänä käytetään esijaettua avainta. Työssä selitetään verkon tietoturvan käsitteet ja muodostetaan malli, joka yhdistää käsitteet helpottaen niiden ymmärtämistä. Kryptografialla on tärkeä merkitys verkon tietoturvassa, siksi työssä selostetaan keskeiset kryptograafiset menetelmät. IPsec protokolla selostetaan pääpiirteittäin. IKE protokolla selitetään siinä laajuudessa kuin on tarpeen tutkittavien hyökkäysten ymmärtämiseksi. Työssä muodostetaan testiympäristö, jotta hyökkäykset IKE:a vastaan voidaan demonstroida. Testiverkko muodostuu tietokoneista, joissa on Unix käyttöjärjestelmä, IPsec ilmaisohjelma, testiohjelmisto ja hyökkäysohjelmat. Internetissä on saatavilla ainoastaan muutama hyökkäysohjelma IKE:a vastaan. Nämä hyökkäysohjelmat analysoitiin ja todettiin kokeiluluonteisiksi, eivätkä ne ole kovin käyttökelpoisia tavalliselle hakkerille. Työssä muodostettiin naista ohjelmista kehittyneemmät versiot. Tutkitut hyökkäykset luokitellaan seuraavasti: IKE palvelun havaitseminen, palvelunesto- ja autentikointihyökkäykset. Hyökkäykset ja niitä torjuvat IKE:n suojausmekanismit analysoidaan. Suurin osa hyökkäyksistä demonstroidaan testiverkossa käyttäen työssä kehitettyjä hyökkäysohjelmia. Demonstroitujen hyökkäysten tulokset osoittavat, että IKE:a vastaan voidaan hyökätä onnistuneesti, joskin se on melko vaativaa. IKE havaittiin haavoittuvaksi erilaisille palvelunestohyökkäyksille, väliin tunkeutuvan ulkopuolisen henkilön tekemille hyökkäyksille sekä esijaetun avaimen murtamiselle. Todetut haavoittuvuudet vaikuttavat suoraan IPsec palvelun saatavuuteen sekä tietoturvaan ja ne johtuvat IKE protokollan tai sen toteutuksen vioista. Tutkittuja hyökkäyksiä vastaan ehdotetaan suojausmenetelmiä tietoturvahaittojen vähentämiseksi. |
| ED: | 2004-09-23 |
INSSI record number: 26326
+ add basket
INSSI