haku: @keyword kryptografia / yhteensä: 13
viite: 5 / 13
| Tekijä: | Muittari, Ari |
| Työn nimi: | Vulnerabilities in the Internet Key Exchange (IKE) Protocol |
| Internetin avaintenvaihtoprotokollan (IKE) haavoittuvuudet | |
| Julkaisutyyppi: | Diplomityö |
| Julkaisuvuosi: | 2004 |
| Sivut: | xi + 84 s. + liitt. 26 Kieli: eng |
| Koulu/Laitos/Osasto: | Sähkö- ja tietoliikennetekniikan osasto |
| Oppiaine: | Tietoverkkotekniikka (S-38) |
| Valvoja: | Kantola, Raimo |
| Ohjaaja: | Kohonen, Jussi |
| OEVS: | Sähköinen arkistokappale on luettavissa Aalto Thesis Databasen kautta.
Ohje Digitaalisten opinnäytteiden lukeminen Aalto-yliopiston Harald Herlin -oppimiskeskuksen suljetussa verkossaOppimiskeskuksen suljetussa verkossa voi lukea sellaisia digitaalisia ja digitoituja opinnäytteitä, joille ei ole saatu julkaisulupaa avoimessa verkossa. Oppimiskeskuksen yhteystiedot ja aukioloajat: https://learningcentre.aalto.fi/fi/harald-herlin-oppimiskeskus/ Opinnäytteitä voi lukea Oppimiskeskuksen asiakaskoneilla, joita löytyy kaikista kerroksista.
Kirjautuminen asiakaskoneille
Opinnäytteen avaaminen
Opinnäytteen lukeminen
Opinnäytteen tulostus
|
| Sijainti: | P1 Ark S80 | Arkisto |
| Avainsanat: | IKE IPsec cryptography security kryptografia tietoturva |
| Tiivistelmä (fin): | Tämän diplomityön tarkoitus on tutkia Internetin avaintenvaihtoprotokollaa (IKE) vastaan tehtävien hyökkäysten toteuttamiskelpoisuutta. Tutkittava protokolla on Internetin tietoturvaprotokollan (IPsec) eräs osa. Työssä tutkitaan IKE protokollan nykyisin käytössä olevaa versiota 1 ja autentikointimenetelmänä käytetään esijaettua avainta. Työssä selitetään verkon tietoturvan käsitteet ja muodostetaan malli, joka yhdistää käsitteet helpottaen niiden ymmärtämistä. Kryptografialla on tärkeä merkitys verkon tietoturvassa, siksi työssä selostetaan keskeiset kryptograafiset menetelmät. IPsec protokolla selostetaan pääpiirteittäin. IKE protokolla selitetään siinä laajuudessa kuin on tarpeen tutkittavien hyökkäysten ymmärtämiseksi. Työssä muodostetaan testiympäristö, jotta hyökkäykset IKE:a vastaan voidaan demonstroida. Testiverkko muodostuu tietokoneista, joissa on Unix käyttöjärjestelmä, IPsec ilmaisohjelma, testiohjelmisto ja hyökkäysohjelmat. Internetissä on saatavilla ainoastaan muutama hyökkäysohjelma IKE:a vastaan. Nämä hyökkäysohjelmat analysoitiin ja todettiin kokeiluluonteisiksi, eivätkä ne ole kovin käyttökelpoisia tavalliselle hakkerille. Työssä muodostettiin naista ohjelmista kehittyneemmät versiot. Tutkitut hyökkäykset luokitellaan seuraavasti: IKE palvelun havaitseminen, palvelunesto- ja autentikointihyökkäykset. Hyökkäykset ja niitä torjuvat IKE:n suojausmekanismit analysoidaan. Suurin osa hyökkäyksistä demonstroidaan testiverkossa käyttäen työssä kehitettyjä hyökkäysohjelmia. Demonstroitujen hyökkäysten tulokset osoittavat, että IKE:a vastaan voidaan hyökätä onnistuneesti, joskin se on melko vaativaa. IKE havaittiin haavoittuvaksi erilaisille palvelunestohyökkäyksille, väliin tunkeutuvan ulkopuolisen henkilön tekemille hyökkäyksille sekä esijaetun avaimen murtamiselle. Todetut haavoittuvuudet vaikuttavat suoraan IPsec palvelun saatavuuteen sekä tietoturvaan ja ne johtuvat IKE protokollan tai sen toteutuksen vioista. Tutkittuja hyökkäyksiä vastaan ehdotetaan suojausmenetelmiä tietoturvahaittojen vähentämiseksi. |
| Tiivistelmä (eng): | The purpose of this thesis is to find out whether it is feasible to successfully attack the Internet Key Exchange (IKE) protocol, which is a part of the IP Security (lPsec) protocol. This thesis studies the currently used version 1 of the IKE protocol, using the pre-shared key authentication method. The thesis explains network security concepts and constructs a model which links the concepts together to make it easier to understand their meaning. Cryptography plays a key role in network security; hence related cryptographic methods are reviewed. IPsec protocol is described in general terms. The IKE protocol is explained to the extent necessary for the reader to understand the attacks examined. A test environment is constructed to demonstrate the attacks on IKE. The test network consists of hosts, which are running a Unix operating system and have a freeware IPsec implementation, a test software and attack programs. It was found that only a few IKE attack programs are available on the Internet. These attack programs were analysed and found to be experimental in nature and not very useful for an average hacker. This thesis developed new, enhanced versions of the previous attack programs. The examined attacks are classified as follows: Discovery of IKE service, Denial-of Service attacks and authentication attacks. The attacks and the respective protection mechanisms of IKE are analysed. Most of the attacks are demonstrated in the test network using the attack programs that were developed. The results of the demonstrated attacks show that successful attacking on IKE is feasible, although it is rather demanding. IKE was found to be vulnerable to various Denialof-Service attacks, Man-In-The-Middle attacks and pre-shared key cracking attacks. The identified vulnerabilities have a direct impact on the attained availability and security of lPsec and they result from flaws in the IKE protocol or in its implementation. Protection measures against the examined attacks are suggested to reduce the harmful implications for security. |
| ED: | 2004-09-23 |
INSSI tietueen numero: 26326
+ lisää koriin
INSSI