Zastosowania PKI dla wirtualnych sieci prywatnych

Transkrypt

1 Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK

2 Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski

3 Telekomunikacja i sieci w przedsiębiorstwie Szybkie i sprawne medium wymiany informacji podstawą sukcesu rynkowego Powstają sieci rozległe dla przedsiębiorstw wieloodziałowych/międzynarodowych) wymiana wszelkiej informacji w ramach firmy różnego typu systemy zarządzania firmą komunikacja multimedialna Sieć publiczna - serwisy dla klientów marketing, reklama handel elektroniczny...

4 Bariery rozwoju rozległych sieci przedsiębiorstw Czasem obawa że sieć utrudni i skomplikuje istniejące procesy działania firmy Coraz rzadziej nieświadomość -brak informacji o istnieniu technologii, czy brak przekonania o słuszności kierunku Często wyłącznie czynniki ekonomiczne

5 Wymogi dla komunikacji w ramach przedsiębiorstwa Poszukiwane rozwiązanie musi być: Bezpieczne Akceptowalne finansowo Efektywne, sprawne, bezawaryjne Pozwalające na minimalizację kosztów funkcjonowania przedsiębiorstwa...

6 Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski

7 Wirtualne sieci prywatne Technologia wirtualnych sieci prywatnych VPN - Wydzielona logicznie struktura oparta o sieć rozległą zapewniająca komunikacje pomiędzy węzłami

8 Internet w komunikacji Wzrost znaczenia Internetu, coraz więcej funkcji pełnionych przez tradycyjne systemy komunikacyjne może być- i jest realizowane przez Internet.

9 Dlaczego VPN przez Internet? Zbudowanie dedykowanej infrastruktury telekomunikacyjnej dla przedsiębiorstwa jest przedsięwzięciem kosztownym poprzez zastosowanie technologii VPN w oparciu o Internet możemy uzyskać minimalizację kosztów globalny zasięg

10 Bezpieczeństwo komunikacji Konieczność zapewnienia mechanizmów bezpieczeństwa danych i transmisji Identyfikacja i uwierzytelnienie Integralność Poufność

11 Jaki VPN? IPSEC jako jedna z dominujących technologia pozwalająca na budowanie VPN IPSEC jest standardem IETF zapewniającym bezpieczeństwo w warstwie sieci Niezależny od warstwy aplikacji (HTTP, FTP,SMTP...)

12 IPSEC i model warstwowy ISO/OSI APLIKACJI PREZENTACJI SESJI TRANSPORTOWA SIECIOWA ŁĄCZA FIZYCZNA TELNET SESJA TCP TCP/UDP IP ETHERNET TWISTED PAIR PGP SSH SSL IPSEC szyfratory sprzętowe

13

14

15 Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski

16 IPSEC Dla zapewnienia usług bezpieczeństwa standard IPSEC definiuje dwa dodatkowe nagłówki AH integralność i autentyczność danych ESP poufność danych

17 IPSEC negocjacja parametrów bezpieczeństwa Protokół IKE poprzedza nawiązanie połączenia IPSEC- zadania: Negocjacja parametrów bezpieczeństwa Wymiana kluczy szyfrujących sesji (Diffie-Hellman) Uwierzytelnienie stron komunikacji IKE wspiera dwa podstawowe mechanizmy uwierzytelnienia Pre-shared key Public key certificates

18 Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski

19 Kryteria wyboru i praktyka Główne czynniki Liczba węzłów sieci/relacji Łatwość zarządzania i implementacji Nakłady finansowe na wdrożenie v. zyski Dla małych sieci powszechnie stosowana metoda pre-shared key Łatwość implementacji (brak konieczności dodatkowych inwestycji)

20 Cechy metody pre-shared key Wspólny klucz dla pary węzłów Założenie znajomości klucza tylko dla stron komunikacji Bezpieczeństwo wymaga oddzielnego klucza dla każdej relacji Konieczność uzgodnienia i dystrybucji klucza outof-band (protokół IKE tego nie zapewnia) Dla połączeń każdy z każdym (full mash) Dodanie jednego węzła do struktury VPN to dystrybucja n-1 kluczy Usunięcie węzła ze struktury to usunięcie n-1 kluczy

21 Co z większymi sieciami VPN? Przy większych sieciach (np.+20 węzłów) sytuacja się komplikuje... Metoda pre-shared key nie jest skalowalna

22 Skalowalności metody z kluczem dzielonym Metoda pre-shared key dla połączeń typu full mash Liczba Węzłów N Liczba Połączeń IPSEC 4950 N(N-1)/2

23 Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski

24 Certyfikaty i VPN Uwierzytelnienie urządzeń w protokole IKE w oparciu o certyfikat cyfrowy Każde urządzenie posiada indywidualnie przyznany certyfikat (X.509) Certyfikaty są wystawiane przez zaufane Certification Authority (dedykowane lub zewnętrzne) Posiadanie ważnego certyfikatu jest warunkiem pozytywnego uwierzytelnienia Żeby mechanizm certyfikatów był skuteczny CA aktualizuje i publikuje CRL listę certyfikatów unieważnionych

25 Certyfikaty i VPN Certyfikat zawiera klucz publiczny urządzenia któremu został przyznany (klucz prywatny jest znany wyłącznie właścicielowi - urządzeniu) Oryginalność certyfikatu gwarantuje weryfikacja klucza urzędu

26 Co jeszcze zawiera certyfikat? Numer wersji Identyfikator Użyty algorytm szyfrowania Informacje o urzędzie który go wystawił Datę ważności Podpis cyfrowy (thumbprint)

27 Zalety zastosowania certyfikatów dla VPN Centralizacja zarządzania kluczami uwierzytelniającymi dla urządzeń VPN Istotne uproszczenie procesu dodawania i usuwania węzłów sieci (w przeciwieństwie do metody pre-sahred key) Dodanie węzła to wydanie tylko jednego certyfikatu Usunięcie węzła do unieważnienie jednego certyfikatu

28 Aspekty wdrożenia certyfikatów Przedsięwzięcie organizacyjno-techniczne Procedury,procedury, procedury obsługa procesów przyznawania i unieważniania i certyfikatów publikowanie CRL (dostępność, cykliczność uaktualnienia) jak chcemy obsłużyć sytuację ważność certyfikatu upłynie za tydzień itd...

29 Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski

30 urządzenia VPN i certyfikaty Znaczna liczba produktów VPN wspiera użycie certyfikatów proces uzyskania certyfikatu PKCS#10, SCEP, HTTP (przeglądarka) dostęp do CRL HTTP, LDAP Status certyfikatu OCSP Obecność mechanizmu nie gwarantuje współpracy z innymi urządzeniami

31 Urządzenia VPN i certyfikaty (cd) Istnieje możliwość automatycznego wydawania certyfikatów Brak standaryzowanych mechanizmów zarządzania całym procesem życia certyfikatu Przed upływem ważności certyfikatu niezbędne działanie administratora

32 Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski

33 Wnioski Pomimo istotnej roli IPSEC na rynku VPN brak kompleksowych mechanizmów zarządzania kluczami uwierzytelniającymi Wybór metody uwierzytelniania wpływa na bezpieczeństwo sieci VPN opartych o IPSEC Metoda pre-shared key nie jest skalowalna dla dużych sieci

34 Wnioski (cd) Zastosowanie certyfikatów pozwala na centralne zarządzanie kluczami i upraszcza zarządzanie dużymi sieciami VPN Sieci VPN mają szansę stać się kolejnym istotnym obszarem zastosowania Infrastruktury Klucza Publicznego

35 Dziękuje, Pytania?