Zdalne logowanie do serwerów

Transkrypt

1 Zdalne logowanie

2 Zdalne logowanie do serwerów

3 Zdalne logowanie do serwerów - cd

4 Logowanie do serwera inne podejście

5 Sesje w sieci informatycznej

6 Sesje w sieci informatycznej - cd

7 Sesje w sieci informatycznej - cd

8 Kerberos system dystrybucji kluczy

9 Kerberos zasada działania

10 Kerberos zasada działania - cd

11 Kerberos zasada działania - cd

12 Kerberos zasada działania - cd

13 Kerberos - wady

14 Kerberos -obecny standard

15 SSL podstawowe informacje Do tworzenia bezpiecznych połączeń wykorzystuje się protokół SSL (ang. Secure Socket Layer) Wszystkie połączenia szyfrowane są kluczem o długości 128 lub 256 bitów. Zaletą protokołu SSL jest fakt, że działa on na warstwie TCP, a więc można łatwo zastosować go do zabezpieczenia protokołów warstwy aplikacyjnej (np.: telnet, HTTP, POP3) Istnieją trzy wersje protokołu: Wersja 1. Miała ona poważną dziurę w bezpieczeństwie biorącą się z nieweryfikowania procedury uzgadniania szyfru atakujący mógł wymusić używanie przez strony najsłabszego obsługiwanego szyfru. Wersja 2 weryfikująca procedurę negocjacyjną. Wersja 3. W 1996 roku za sprawą IETF (ang. Internet Engineering Task Force) powstała grupa robocza TLS (ang. Transport Layer Security), która ma za zadanie rozwijać oraz publikować standard SSL. W styczniu 1999 roku grupa ta opublikowała protokół TLS, który bazuje na SSL v3.

16 SSL VPN działanie Idea SSL VPN opiera się na wykorzystaniu mechanizmów szyfrowania i autentykacji, standardowo wbudowanych w przeglądarkę internetową, tj. SSL/TLS. Zaszyfrowane dane przesyłane są pomiędzy zdalnym użytkownikiem a bramą SSL. Komputery z SSL są uwierzytelniane za pomocą certyfikatów cyfrowych. W odróżnieniu od IPSec VPN użytkownik otrzymuje dostęp nie do całej sieci, a tylko do wybranych jej zasobów. Znika występujący w IPSec problem instalacji oprogramowania klienckiego na zdalnej maszynie. Brak dedykowanego klienta ogranicza jednak możliwość współpracy tylko do wybranych aplikacji. Tunel SSL dociera jedynie do bramy, tam zadanie klienta jest przetwarzane, autoryzowane i tłumaczone na właściwy protokół, np. HTTP. Następnie żądanie to jest przesyłane poprzez nowo zestawione połączenie do właściwego serwera. Odpowiedź z serwera jest odsyłana do klienta w postaci zaszyfrowanej. Brama SSL VPN pełniąca rolę pośrednika pomiędzy żądaniami zdalnego klienta a serwerem aplikacji zapewniająca ochronę zasobów korporacyjnych.

17 SSL VPN działanie - cd

18 Porównanie IPSec i SSL VPN

19 Serwery VPN a sieci inne rodzaje zabezpieczeń cz. II Znacznie częściej spotykaną konfiguracją jest umieszczenie serwera VPN za ścianą ogniową w tzw. strefie zdemilitaryzowanej (DMZ ang. Demilitarized Zone). W takiej konfiguracji serwer VPN ma jedną kartę sieciową połączoną ze strefą DMZ, a drugą z intranetem. Ponieważ oprogramowanie ściany ogniowej nie używa algorytmów szyfrujących, ani nie zna wykorzystywanych przez VPN kluczy, może jedynie filtrować i przetwarzać zewnętrzne nagłówki tunelowanych pakietów. Oznacza to, że w rzeczywistości wirtualny tunel przebiega również przez firewall. Nie osłabia to jednak bezpieczeństwa, gdyż połączenie VPN wymaga autoryzacji.

20 Serwery VPN a sieci inne rodzaje zabezpieczeń cz. I Serwer VPN może znajdować się przed firewallem i mieć bezpośrednie połączenie z Internetem lub między siecią lokalną a ścianą ogniową. Uruchomienie serwera VPN przed firewallem wymaga odpowiedniego skonfigurowania filtrowania pakietów, tak aby przepuszczane były tylko pakiety z i do kanału VPN. Po odszyfrowaniu pakietów serwer VPN przekazuje je do firewalla, który pozwoli na ich transport do wewnętrznej sieci. Ruch przychodzący z serwera VPN jest generowany tylko przez uwierzytelnionych klientów, dlatego filtrowanie na zaporze może być użyte do ochrony przed ich dostępem do niektórych specjalnych zasobów wewnętrznych. Z drugiej strony, ponieważ dowolny ruch z Internetu musi przejść przez serwer VPN, można w ten sposób ograniczyć dostęp do intranetowych usług FTP lub WWW tylko do użytkowników VPN

21 Serwery VPN a sieci inne rodzaje zabezpieczeń cz. III