VPN. IPsec PPTP (ang. Point to Point Tunneling Protocol) OpenVPN L2TP (ang. Layer Two Tunneling Protocol) Hamachi

Transkrypt

1 Połączenia tunelowe

2 Porty TCP UDP BOOTP serwer 67, klient 68 DNS 53 FTP 20, przesyłanie danych FTP 21, przesyłanie poleceń HTTP 80, dodatkowe serwery, np. proxy, są najczęściej umieszczane na porcie 8080 HTTPS 443 (HTTP na SSL) IMAP 143 IMAP3 220 IRC 6667 XMPP 5222 dla serwera sieci Jabber XMPP 5223 dla serwera sieci Jabber w serwisie Wirtualna Polska LDAP 389 LDAPS 636 (LDAP na SSL) MySQL 3306 NNTP 119 POP3 110 SPOP3 995 (POP3 na SSL) PostgreSQL 5432 Rsync 873 SMTP 25 SSH 22 Syslog 514 Telnet 23 TFTP 69 X11 od 6000 do 6007

3

4 VPN IPsec PPTP (ang. Point to Point Tunneling Protocol) OpenVPN L2TP (ang. Layer Two Tunneling Protocol) Hamachi

5 IPsec Protokoły wchodzące w skład architektury IPsec służą do bezpiecznego przesyłania przez sieć pakietów IP. Działają one na zasadzie enkapsulacji, tj. oryginalny (zabezpieczany) pakiet IP jest szyfrowany, otrzymuje nowy nagłówek protokołu IPsec i w takiej formie jest przesyłany przez sieć. VPN oparta na IPsec składa się z dwóch kanałów komunikacyjnych pomiędzy połączonymi komputerami: kanał wymiany kluczy za pośrednictwem którego przekazywane są dane związane z uwierzytelnianiem oraz szyfrowaniem (klucze) oraz kanału (jednego lub więcej), który niesie pakiety transmitowane poprzez sieć prywatną. Kanał wymiany kluczy jest standardowym protokołem UDP (port 500). Kanały przesyłu danych oparte są na protokole ESP (protokół numer 50) opisanym w dokumencie RFC 2406.

6

7 PPTP Point to Point Tunneling Protocol (w skrócie PPTP) to protokół komunikacyjny umożliwiający tworzenie wirtualnych sieci prywatnych wykorzystujących technologię tunelowania. Polega to na zdalnym dołączaniu się do stacji roboczych lub sieci (głównie opartych na systemie operacyjnym Windows) za pośrednictwem Internetu i tworzeniu wirtualnego połączenia z lokalną siecią (np. firmową). Ma zapewnić jednocześnie zachowanie bezpieczeństwa przy zdalnym przesyłaniu danych. Inicjalizacja połączenia wykonywana jest na port Najbardziej rozpowszechniona i jednocześnie zawierająca najwięcej podatności implementacja protokołu PPTP została opracowana przez firmę Microsoft. Protokół PPTP stanowi standardowe wyposażenie systemu operacyjnego Windows od wersji 98 i NT. Od momentu powstania protokół PPTP, w implementacji firmy Microsoft, był wielokrotnie łamany i jego stosowanie w poważnych zastosowaniach nie gwarantuje odpowiedniego poziomu bezpieczeństwa przesyłanych danych.

8

9 L2TP Protokół L2TP (ang. Layer Two Tunneling Protocol) (dekapsułkowanie danych tunelowanych za pomocą IPsec) umożliwia szyfrowanie ruchu IP, IPX oraz NetBEUI i przekazywanie go poprzez dowolne medium transmisyjne, obsługujące dostarczanie datagramów w połączeniu punkt-punkt, np.ip, X.25, Frame Relay czy ATM.

10 Hamachi Hamachi jest darmową (lub odpłatną - wtedy ma większe możliwości), nie wymagającą konfiguracji aplikacją VPN (Virtual Private Network). Jest to pierwszy i jak na razie jedyny program VPN umożliwiający nawiązanie bezpośredniego połączenia między dwoma komputerami, jeżeli oba znajdują się za NAT-em (w nawiązaniu połączenia pomaga serwer, ale potem jest utrzymywane bez jego pomocy). Na razie jest dostępny na systemy Windows z rodziny NT (NT, 2000, XP, 2003) oraz na Linuksa i Mac OS.

11

12 NAT NAT (skr. od ang. Network Address Translation, tłumaczenie adresów sieciowych; czasem Native Address Translation, tłumaczenie adresów rodzimych), znane również jako maskarada sieci lub IP (od ang. network/ip masquerading) technika przesyłania ruchu sieciowego poprzez router, która wiąże się ze zmianą źródłowych lub docelowych adresów IP, zwykle również numerów portów TCP/UDP pakietów IP podczas ich przepływu. Zmieniane są także sumy kontrolne (tak IP jak i TCP/UDP), aby potwierdzić wprowadzone zmiany.

13 OpenVPN OpenVPN to pakiet VPN stworzony przez Jamesa Yonana. Umożliwia on tworzenie zaszyfrowanych połączeń między hostami używa do tego celu biblioteki OpenSSL oraz protokołów SSLv3/TLSv1. W przeciwieństwie do innych rozwiązań VPN nie bazuje na protokole IPsec jako medium. Pakiet ten dostępny jest na platformach Linux, BSD, Mac OS X oraz Windows 2000/XP/Vista. Cały pakiet składa się z jednego kodu binarnego dla klienta i serwera, opcjonalnego pliku konfigurującego oraz z jednego lub więcej plików kluczy w zależności od metody uwierzytelnienia.

14

15

16 INTERNET

17 SSL/TLS TLS (ang. Transport Layer Security) przyjęte jako standard w Internecie rozwinięcie protokołu SSL (ang. Secure Socket Layer), w swojej pierwotnej wersji zaprojektowanego przez firmę Netscape Communication Corporation. TLS ma na celu zapewnienie poufności i integralności transmisji danych oraz zapewnienie uwierzytelnienia, opiera się na szyfrach asymetrycznych oraz certyfikatach standardu X.509. Zaletą protokołu jest fakt, że działa on na warstwie TCP, więc można go łatwo zastosować do zabezpieczenia protokołów warstwy aplikacyjnej (np.: telnet, HTTP, gopher, POP3, IMAP, NNTP).

18 Szyfrowanie asymetryczne

19 WiMax Wi-Fi

20 Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeostwo Zalety i wady

21 Technologie bezprzewodowe stanowią alternatywę dla sieci opartych na połączeniach kablowych. Wi-Fi (Wireless Fidelity) to ogólny termin odnoszący się do standardu IEEE opisującego bezprzewodowe sieci lokalne (WLAN). Wi-Fi umożliwia połączenie komputerów między sobą, łącznośd z Internetem a także jest dołączalna do sieci przewodowej.

22

23 Standardy Wi-Fi IEEE b IEEE a IEEE g IEEE n

24 IEEE b Zatwierdzony pod koniec 1999 Pracuje w paśmie 2,4 GHz 11 Mbps (prędkośd teoretyczna) dla odległości do 30m 4-6 Mbps (przeciętna prędkośd transmisji) Zasięg max.: 45m w pomieszczeniu, ~100m na zewnątrz Interferencje z sygnałem z telefonów komórkowych i urządzeo Bluetooth obniżają szybkośd transmisji.

25 IEEE a Zatwierdzony pod koniec 1999, wdrożony w 2001 Pasmo pracy - 5 GHz 54 Mbps (szybkośd teoretyczna) Mbps (szybkośd efektywna) Zasięg: 20 35m Urządzenia droższe od urządzeo b Niekombatybilny z b

26 IEEE g Wdrożony w 2003 Połączenie dwóch poprzednich standardów (aprędkość,b-pasmo pracy) Zasięg jak w standardzie b (wynika z pasma pracy) 54 Mbps prędkośd efektywna Pasmo pracy GHz Kompatybilny w dół z b Dostępne urządzenia w standardzie Super G

27 IEEE n Zatwierdzony wrzesieo 2009 Max prędkośd teoretyczna 300Mbps (dostępna 100Mbps) Pasmo pracy lub 5,0GHz Zasięg 70 do ~200m

28 Warstwa fizyczna Warstwa fizyczna składa się z trzech podwarstw (trzy metody transmisji): Direct Sequence Spread Spectrum (DSSS)-bezpośrednie modulowanie nośnej sekwencją kodową. Frequency Hoping Spread Spectrum (FHSS)- skakanie sygnału po częstotliwościach w kolejnych odstępach czasu. Diffused Infrared (DFIR) fale elektromagnetyczne z zakresu podczerwieni

29 Pasmo transmisji podzielone jest na 11 kanałów o szerokości 22MHz każdy.

30 Warstwa łącza danych Logical Link Control (LLC) sterowanie połączeniem logicznym. Wyższa podwarstwa warstwy łącza danych modelu OSI. Identyczna dla różnych fizycznych mediów wymiany danych. Media Access Control (MAC) kontrola dostępem do medium. Niższa podwarstwa warstwy łącza danych modelu OSI.

31 Elementy sieci Wi-Fi Access Point (AP) punkt dostępowy. Urządzenie zapewniające stacjom bezprzewodowym dostęp do zasobów sieci za pomocą bezprzewodowego medium transmisyjnego. Karty Wi-Fi bezprzewodowe karty sieciowe (np. standard PCMCIA do notbook ów lub PCI komputerów stacjonarnych). Zabezpieczenia firewall e i antywirusy oprogramowanie zabezpieczające przed nieautoryzowanym dostępem do zasobów sieci i zapewniające bezpieczeostwo informacji.

32 Jak działa sieć WiFi Podstawowa koncepcja jest oparta o zasadę działania krótkofalówek. Wi-Fi hotspot jest tworzony poprzez dołączenie AP do sieci internet. Punkt dostępowy stanowi stację bazową dla połączeo bezprzewodowych. W chwili gdy klient Wi-Fi zlokalizuje punkt dostępowy możliwe jest ustanowienie połączenia. Wiele AP może byd połączonych ze sobą kablem Ethernetowym tworząc siatkę (mesch) Wi-Fi.

33 Topologie sieci Wi-Fi Topologia AP-based topologia (tryb Infrastructure) Topologia peer-to-peer (Ad-hoc Mode) Topologia mostu - Point-to-multipoint

34 Tryb Infrastructure Klienci komunikują się poprzez AP. AP zapewniają dostęp do sieci. Struktura zawiera co najmniej 2 AP. Zasięg sąsiadujących komórek AP powinny pokrywad się w 10-15%.

35 Topologia peer-to-peer AP nie jest wymagany. Urządzenia w obrębie komórki mogą komunikowad się ze sobą bezpośrednio. Jest łatwa i szybka do utworzenia. Jest bardzo podatna na nieautoryzowany dostęp

36 Point-to-multipoint Topologia pozwalająca łączyd ze sobą odległe sieci lokalne. Jeden punkt stanowi rodzaj koncentratora z dostępem do Internetu. Pozostałe punkty łączą się z nim na zasadzie wielu-do-jednego

37

38 Zagrożenia sieci Wi-Fi Technologie Wi-Fi są narażone na wszystkie niebezpieczeostwa znane z wcześniejszych technologii. Dodatkowo sieci Wi-Fi są podatne na ataki typu: Eavesdropping (podsłuchiwanie) Man-in-the-middle Denial of Service

39 Wyposażenie do podsłuchu bluetooth na odległośd 1 mili (~1,6km)

40 Podsłuchiwanie transmisji Łatwe w realizacji, niemal niemożliwe do wykrycia. Domyślnie cała transmisja jest niekodowana: nazwa użytkownika, hasła, zawartośd przekazu, domyślnie nie ma kodowania w warstwie fizycznej. Istnieje cała gama narzędzi do realizacji podsłuchu: sniffer y sieciowe, analizatory protokołów, itp., słowniki haseł. Z odpowiednim wyposażeniem transmisję Wi-Fi można podsłuchiwad z odległości kilku kilometrów.

41 Atak MItM Atakujący przechwytuje pakiety ofiary, blokując transmisję Ofiara nie mogąc wykonad transmisji poszukuje najbliższego AP Atakujący podszywa się pod AP Atakujący używając identyfikacji ofiary łączy się z właściwym AP

42 Atak DoS Atak na pasmo fizyczne wprowadzenie częstotliwości zakłócających (frequency jamming) metoda nie wyrafinowana ale skuteczna. Atak na warstwę MAC fałszowanie danych w transmitowanych ramkach (spoofing), możliwośd ataku określonego użytkownika. Atak na protokoły wyższych warst SYN flooding

43 Zabezpieczanie sieci Wi-Fi Uwierzytelnienie: - po stronie użytkownika - po stronie serwera Prywatnośd

44 Uwierzytelnienie Nie pozwala na nieautoryzowany dostęp do sieci Uwierzytelnienie po stronie użytkownika: - wymagany jest serwer uwierzytelniający, - nazwa użytkownika i hasło. Zagrożenia: - nazwa użytkownika i hasło są przesyłane przed nawiązaniem bezpiecznego połączenia, - łatwe do przechwycenia poprzez podsłuch sieci. Rozwiązanie: - nawiązanie bezpiecznego połączenia przed logowaniem użytkownika

45 Uwierzytelnienie cd. Uwierzytelnianie po stronie serwera: - Użycie certyfikatów - Sprawdzenie poprawności certyfikatu odbywa się automatycznie w ramach oprogramowania klienckiego

46 Techniki zabezpieczenia Wi-Fi Service Set Identifier (SSID) identyfikator sieci (max 32 znaki) Wired Equivalent Privacy (WEP) 802.1X Access Control Wireless Protected Access (WPA) IEEE i (WPA2)

47 Identyfikator sieci SSID SSID (ang. Service Set IDentifier) identyfikator sieci składający się maksymalnie z 32 znaków, dodawany do nagłówków pakietów wysyłanych przez bezprzewodową sied lokalną. Pełni rolę hasła dostępowego przy próbie dostępu do punktów dostępu. Wszystkie urządzenia mające pracowad w jednej sieci muszą używad tego samego SSID.

48 Szyfrowanie WEP WEP (ang. Wired Equivalent Privacy) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE Standard ten powstał w 1997 roku. Standard specyfikuje klucze 40- i 104-bitowe, do których w procesie wysyłania ramki dołączany jest wektor inicjujący (IV) o długości 24 bitów. Stąd popularnie mówi się o 64- i 128-bitowych kluczach WEP, ale nie jest to stwierdzenie poprawne technicznie. W rozszerzeniach firmowych tego standardu znaleźd można również klucze o długości 232 bitów (z IV daje to 256 bitów), które jednak z uwagi na znane słabości w doborze IV nie zwiększają w istotny sposób siły kryptograficznej całości rozwiązania.

49 Standard dostępu 802.1x Mechanizm dostępu sieciowego ogólnego przeznaczenia (nie tylko dla sieci Wi-Fi). Uwierzytelnia klienta podłączonego do AP lub przełącznika sieciowego. Uwierzytelnianie odbywa się z wykorzystaniem serwera uwierzytelniającego, który stwierdza czy dany klient jest autentyczny czy nie.

50

51

52 Szyfrowanie WPA WPA (ang. WiFi Protected Access) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE WPA jest następcą mniej bezpiecznego standardu WEP. Standard WPA został prowadzony przez organizację WiFi. Pierwsza wersja profilu WPA została wprowadzona w kwietniu 2003 roku. WPA wykorzystuje protokoły TKIP (Temporal Key Integrity Protocol), 802.1x oraz uwierzytelnienie EAP. WPA=802.1x+EAP+TKIP+MIC

53 Szyfrowanie WPA cd. WPA dzieli się na: Enterprise korzysta z serwera RADIUS, który przydziela różne klucze do każdego użytkownika. Personal - nie dzieli kluczy na poszczególnych użytkowników, wszystkie podłączone stacje wykorzystują jeden klucz dzielony (PSK - Pre-Shared Key). Uwierzytelnienie w protokole WPA-PSK jest podatne na ataki słownikowe. Szyfrowanie TKIP w WPA jest podatne na atak kryptoanalityczny o ograniczonym zasięgu, dla którego opracowano również zoptymalizowaną wersję.

54 Bezpieczeństwo WPA Dane są szyfrowane Zabezpieczenie przed podsłuchem i atakami typu MItM Ataki Dos Zabezpieczenie przed atakiem opartym na fałszywych danych (fake messages) Jeżeli w określonym czasie nadejdą dwa nieautoryzowane pakiety łącznośd zostaje zerwana na określony czas Dwa niewłaściwe pakiety na minutę wystarczą do wstrzymania aktywności

55 802.11i (WPA2) Protokół implementuje w sobie 802.1x i CCMP Dąstępne są wersje: Personal i Enterprise WPA2 jest kompatybilne wstecz z WPA Podstawowa różnica pomiędzy WPA, a WPA2 jest w sposobie szyfrowania (odpowiednio RC4 i AES ) WPA i WPA2 są dużo bardziej bezpieczne niż WEP. Powinny byd jak najczęściej stosowane w miarę możliwości.

56 Zalety Mobilnośc Łatwośd instalacji Elastycznośd Koszt Niezawodnośd Bezpieczeostwo Używa nielicencjonowanego pasma radiowego Roaming Speed

57 Ograniczenia Interferencje Degradacja wydajności Energochłonnośd Ograniczony zasięg