Badanie wybranych atrybutów bezpieczeństwa i jakości w sieciach IPv4/6

Transkrypt

1 Katarzyna SOBOLEWSKA, Dariusz LASKOWSKI Wydział Elektroniki, Wojskowa Akademia Techniczna, E mail: kasia.sobolewska@gmail.com, dariusz.laskowski@wel.wat.edu.pl Badanie wybranych atrybutów bezpieczeństwa i jakości w sieciach IPv4/6 Streszczenie: W artykule przedstawiono opracowanie koncepcji sieci wielooddziałowej w środowisku sieci wielodomenowej, zapewniającej bezpieczeństwo przesyłania danych biorąc pod uwagę zapewnienie poufności, uwierzytelnienia oraz integralności danych. Zasadniczymi komponentami koncepcji jest opracowanie wydajnej, skutecznej i niezawodnej sieci VPN oraz implementacja wybranych jej elementów na platformie programowo-sprzętowej. Kolejnym aspektem jest właściwy dobór typu implementacji IPSec/SSL zależny od środowiska sieciowego oraz wnikliwa i krytyczna analiza bezpieczeństwa opracowanej sieci. W artykule zostały również omówione problemy pojawiające się podczas konfiguracji rozwiązań VPN. 1. Mechanizmy bezpieczeństwa sieciowego Liczność przemian społeczno-gospodarczych obecnie występujących w krajach wysoko rozwiniętych jest stymulatorem budowania informacyjnego społeczeństwa XXI wieku. Rozwój nowoczesnych technologii i postęp cywilizacyjny spowodował, iż społeczeństwu przedstawiane są kolejne wynalazki, których głównym celem jest ułatwianie życia. Ewolucja ta jest spowodowana mnogością technik informatycznych mających szerokie zastosowanie w relacjach międzyludzkich dla przyśpieszenia wzajemnej komunikacji. Niezaprzeczalny prym wśród tych nowinek nauki i techniki wiedzie Internet (rozległa sieć teleinformatyczna) z technologią każdy-z-każdym (ang. peer-to-peer, p2p). Leżący u podstaw działania Internetu protokół IP nie zapewnia sam w sobie bezpiecznego transportu danych przez sieć. W protokołach warstwy transportowej TCP/UDP również nie zaimplementowano żadnego algorytmu szyfrowania, uwierzytelnienia i sprawdzenia integralności danych. Protokół IP wersja 4 nie zawiera w sobie żadnych usług ochrony informacji. Ataki typu odmowa usługi, podsłuch (przechwycenie) danych, modyfikacja danych, podszycie się są powszechne. Następna wersja protokołu IPv6 (IP wersja szósta) zawiera wsparcie dla usług ochrony informacji. Utrzymanie bezpieczeństwa rozległej infrastruktury sieciowej odbywa się najczęściej za pomocą sieci VPN (ang. virtual private network). Koncepcja funkcjonowania sieci VPN polega na tworzeniu wydzielonych logicznych kanałów transmisji danych w ramach sieci rozległej tak, aby dane przesyłane tymi kana- 91

2 łami zostały zabezpieczone w zakresie poufności, integralności i autentyczności [1]. Zabezpieczenie danych w sieci VPN realizowane jest za pomocą technik kryptograficznych. Wyróżnia się dwa podstawowe rodzaje VPN: Site-Site wirtualna sieć prywatna pomiędzy odległymi sieciami LAN (ang. Local Area Network), kanały VPN otwierane są przez brzegowe urządzenia VPN; Client-Site wirtualna sieć prywatna pomiędzy odległą stacją PC i siecią LAN, kanały VPN otwierane są przez program klienta VPN na stacji PC i brzegowe urządzenie określane, jako koncentrator VPN. Istnieje wiele protokołów bezpieczeństwa sieci VPN. Najczęściej stosowanymi są IPSec oraz SSL. Jedną z zasadniczych różnic pomiędzy sieciami zdalnego dostępu VPN jest fakt, iż IPSec wymaga instalacji i konfiguracji oprogramowania klienckiego w systemie zdalnego użytkownika, podczas gdy SSL korzysta jedynie z domyślnej przeglądarki WWW. IPSec (ang. IP Security) jest w zbiorem protokołów i metodą podwyższania bezpieczeństwa w sieciach TCP/IP. Może on przeprowadzać autoryzację nadawcy, sprawdzać integralność danych, zapewniać poufność transmisji i sterować dostępem w sieciach IP. Sieci VPN tworzone z wykorzystaniem protokołu IPSec uważane są za najbezpieczniejszy rodzaj sieci wirtualnej, ponieważ wykorzystuje silną kryptografię oraz rozbudowane mechanizmy uwierzytelniania. IPSec posiada wiele zastosowań, dlatego też istnieją dwa tryby pracy tego protokołu: transportowy (ang. transport mode) i tunelowy (ang. tunneling mode) oraz dwa niezależne podprotokoły (AH i ESP). Rys. 1. Tryby pracy IPSec a na przykładzie protokołu ESP W tunelowym trybie pracy szyfruje się nagłówek i dane każdego z pakietów, w transportowym tylko dane. W trybie transportowym nagłówki związane z IPSec (AH /ESP) są dodawane po nagłówku IP, a więc nagłówek IP nie jest ukrywany. Z tego powodu można go stosować tylko do transmisji w sieciach LAN. W sieciach WAN występują 92

3 problemy z fragmentacją i routingiem tak przygotowanych pakietów. Tryb transportowy stosuje się do komunikacji między komputerami, oraz komunikacji komputerów z bramami IPSec, natomiast tryb tunelowy stosuje się głównie do komunikacji brama-brama. Na poniższym rysunku zostały przedstawione ramki poszczególnych trybów pracy dla protokołu ESP. Specyfikacja protokołu IPSec zapewnia mechanizm pozwalający zaimplementować autentyczność danych poprzez użycie protokołu AH (ang. Authentication Header). Protokół ten, jak sama nazwa wskazuje, zapewnia usługi związane z uwierzytelnieniem pakietu i integralnością przesyłanych danych. Zapewnienie atrybutu bezpieczeństwa w postaci poufności przesyłanych danych osiąga się przez protokół ESP (ang. Encapsulation Security Payload). IPSec wykorzystuje szyfrowanie do ochrony informacji przed przechwyceniem lub ingerencją. Aby efektywnie wykorzystać ten mechanizm, oba końce połączenia powinny współdzielić klucz, które jest wykorzystywany zarówno do szyfrowania oraz deszyfrowania informacji. Proces negocjacji parametrów bezpieczeństwa w IPSec przebiega dwufazowo: Faza 1 przeprowadzana jest negocjacja parametrów bezpieczeństwa, wymagana do ustanowienia bezpiecznego kanału pomiędzy dwoma końcami IPSec. Faza 1 jest przeważnie implementowana przez protokół IKE (ang. Internet Key Exchange). Jeżeli zdalny koniec IPSec nie będzie potrafił wykorzystać IKE, możemy użyć ręcznej konfiguracji z współdzielonymi kluczami (ang. pre-shared keys). Faza 2 wykorzystywany jest bezpieczny tunel ustanowiony w Fazie 1, w celu wymiany parametrów bezpieczeństwa wymaganych do transmisji danych przez użytkownika. Późniejsza praca protokołów IPSec bazuje na asocjacji bezpieczeństwa SA (ang. Security Associations), wykorzystywanej przez każdy punkt końcowy. SA opisuje parametry bezpieczeństwa, takie jak typ uwierzytelniania i szyfrowania, ustalone ze stronami podczas negocjacji połączenia. Znajomość przedstawionych mechanizmów będzie konieczna do sprawnego konfigurowania IPSec na różnym sprzęcie sieciowym [2]. Aplikacje użytkownika Serwery w sieci wewnętrznej Klient poczty Klient bazy danych Aplikacje internetowe... SMTP POP3 SMTP POP3 SQL Aplikacja tunelująca ruch w SSL HTTP Inne Komunikacja szynowa SSL SQL HTTP Przeglądarka Web Inne protokoły Zdalni użytkownicy Rys. 2. Zasada funkcjonowania zdalnego dostępu SSL VPN Natomiast protokół SSL umożliwia użytkownikom i serwerom szyfrowanie i ochronę danych przesyłanych w sieci WWW i w Internecie. Serwer i przeglądarka, które przesy- 93 Brama SSL VPN System informatyczny firmy

4 łają między sobą informacje, muszą współpracować z protokołem SSL. Obecnie jest on wbudowywany we wszystkich popularnych przeglądarkach. Poniższy rysunek przedstawia zasadę funkcjonowania zdalnego dostępu VPN. 2. Koncepcja architektury sieciowej Projektując zabezpieczenia VPN należy zwrócić uwagę na następujące wymagania: wiarygodne uwierzytelnienie tożsamości oraz sprawne zarządzanie bazą użytkowników; zastosowanie odpowiedniej technologii zabezpieczeń oraz ustalenie zasad ich konfiguracji w zależności od architektury sieciowej oraz potrzeby zapewnienia odpowiedniego poziomu bezpieczeństwa; zapewnienie wymaganego pasma dla aplikacji strategicznych; sprawne zarządzanie mogące sprostać wymaganiom częstych zmian konfiguracji. Funkcjonowanie utworzonej koncepcji sieci obejmuje powyższe aspekty dotyczące zabezpieczeń oraz poprawnej konfiguracji infrastruktury sieciowej. Utworzony projekt bezpiecznej sieci TCP/IP z dostępem do Internetu, oparty jest na kablowym i bezprzewodowym medium transportowym. Sieć dedykowana jest jedną z firm korporacyjnych, posiadająca zdolność przenoszenia ruchu pomiędzy oddziałami firmy oraz zapewniająca możliwie największą integrację usług. Pracownicy są przypisani do grup roboczych z adekwatnymi przywilejami i uprawnieniami. Tunele IPsec zestawione pomiędzy oddziałami firmy (rysunek 2) oraz tunele SSL dla pracowników zdalnych umożliwiają bezpieczną wymianę informacji korporacyjnych. Infrastruktura IT firmy umożliwia realizację podstawowych usług sieciowych tj. poczta, ftp, baza danych i strona WWW (intranet). Do budowy sieci wykorzystano sprzęt firmy Cisco oraz 3Com. Rys. 3. Architektura koncepcji sieci VPN Testem sprawdzającym poprawność działania protokołu IPSec w konfiguracji Site-tosite była próba nawiązania sesji telnet i komunikacja komputera PC1 z komputerem PC2 oraz przechwycenie ruchu przy pomocy Wireshark na komputerze PC1 oraz PC3 94

5 (za pomocą koncentratora w tunelu IPSec). Schemat połączenia IPSec w konfiguracji Site-to-site został przedstawiony na poniższym rysunku. Rys. 4. Schemat połączenia IPSec Site-to-site z analizatorem ruch w tunelu Przechwycony ruch z PC3 jest zaszyfrowany, ponieważ jest przesyłany w tunelu IPSec. Przechwycenie ruchu możliwe jest dzięki koncentratorowi, który przenosi sygnał z portu wejściowego na wszystkie porty wyjściowe, bit po bicie. IPSec zapobiega wszelkim modyfikacjom pakietów. Często jednak występują konflikty w trakcie przesyłania pakietów przez serwer translacji adresów NAT (ang. Network Address Translation), który modyfikuje pakiety, zamieniając adresy publiczne na prywatne. W celu umożliwienia nawiązywania połączeń przechodzących przez routery z NAT-em, stosowany jest mechanizm NAT Traversal. Jeśli oba punkty komunikacji ustalą, z jakim typem NAT mają do czynienia, przechodzą automatycznie na komunikację wykorzystującą port UDP o numerze 4500, aby przenosić dalszy ruch IPSec z użyciem enkapsulacji UDP [4, 5]. Tworząc tunel IPSec, dla połączeń przechodzących przez routery z translacją adresów NAT nie można użyć protokołu AH, ponieważ nie jest możliwa zamiana adresu źródłowego w nagłówku pakietu IP (cały nagłówek zabezpieczony jest przed zmianą). Jakakolwiek próba modyfikacji pakietu uznana będzie przez drugą stronę za naruszenie integralności danych. W przypadku protokołu ESP ochronie integralności nie podlega zewnętrzny nagłówek IP, tak więc możliwa jest zamiana źródłowego adresu IP. Korzystając z trybu tunelowego, z przechwyconego pakietu nie jest możliwe odczytanie rzeczywistego adresu źródłowego i docelowego komunikacji, tylko adres IP początku i końca tunelu IPSec [6]. Ze względu na występowanie translacji NAT i zastosowaniu mechanizmu NAT-T protokołem transportowym jest UDP. Pakiety ESP tunelowane w pakietach UDP nie są modyfikowane przez urządzenia NAT, dzięki czemu VPN funkcjonuje bez zakłóceń. Kolejnym utrudnieniem pojawiającym się podczas konfiguracji tuneli IPSec jest to, iż ochrona pakietów za pomocą protokołu IPSec powoduje zwiększenie ich rozmiaru o dodatkowe nagłówki. Protokół ESP powoduje narzut co najmniej 36 bajtów. W sytuacji gdy rozmiar datagramu IP wraz z narzutem IPSec przekroczy maksymalna jednostkę transmisji MTU (ang. maximum transmission unit) obowiązującą w sieci fizycznej, urządzenie VPN wykonuje fragmentację, która wpływa niekorzystnie na wydajność transmisji danych i należy w miarę możliwości jej unikać. Dobrej klasy urządzenia 95

6 VPN, aby uniknąć fragmentacji datagramów, potrafią dla sesji TCP ustawić odpowiednią wartość maksymalnego segmentu MSS (ang. maximum segment size). Zbiór urządzeń przedstawionego projektu sieci VPN tworzą: Urządzenia końcowe: Telefon: Videotelefon. Terminal (procesor: Intel Core 2 Quad Processor Q8200, płyta główna - Asus P5Q, pamięć: Kingston 4GB, dysk: Samsung 750GB, karta grafiki: Gigabyte GeForce 9600). Router: - Dostępowy: Cisco model: 18XX, - Szkieletowy: Cisco 28XX. - Router z punktem dostępu n. Przełączniki: Szkieletowy (warstwy 2 / 3). Urządzenia infrastruktury kablowej: Kabel kategorii 5e/6, szafa stojąca, osprzęt instalacyjny: wtyki modularne i moduły RJ 45 UTP Keystone 5e/6, patchcordy, patch panel. Zbiór oprogramowania to: System operacyjny klasy Microsoft Windows i Linux. Dedykowane oprogramowanie Cisco i badania jakości. Analizator ruchu. Aplikacja zarządzająca ruchem i danymi, bezpieczeństwa IPSec. Oprogramowania emulacji i generacji ruchu (SIP, H323). Programy do testowania. Przedstawione powyżej elementy zostały skonfigurowane i uruchomione, a następnie zostaną wykonane badania jakości usług środowiska sieciocentrycznego (rysunek 4) w ramach programu badawczego PBZ MNiSW DBO 02/I/2007, Zaawansowane metody i techniki tworzenia świadomości sytuacyjnej w działaniach sieciocentrycznych. 3. Wnioski Sieci SSL VPN oferują bezpieczny dostęp przez Internet w warstwie aplikacji przy użyciu zwykłej przeglądarki. W konsekwencji administratorzy zainteresowani zdalnym dostępem nie potrzebują dystrybuować i utrzymywać oprogramowania klienckiego na zdalnych komputerach. SSL VPN posiadał jednak wadę ograniczał dostęp tylko do aplikacji opartych na przeglądarce. Przeszkodę tę jednak usunięto przez odpowiednie dostosowanie aplikacji lub ładowanie na zdalną maszynę agentów Java bądź Active X. Takie przeglądarkowe wtyczki umożliwiają zdalnym komputerom tworzenie połączeń w warstwie sieciowej porównywalne do tych z IPSec. W rezultacie SSL VPN zdobywa rynek kosztem rozwiązań IPSec VPN i nie jest wykluczone, że ostatecznie okaże się zwycięzcą. Jednak IPSec nadal jest preferowanym sposobem łączenia dwóch lokalizacji (site-tosite), a wielu dostawców SSL VPN nawet nie oferuje takiej funkcjonalności. Oprogra- 96

7 mowanie klienta IPSec nawiązuje połączenie przez Internet do bramy IPSec VPN, po czym inicjowana jest procedura wymiany kluczy IKE (Internet Key Exchange). Po pomyślnym uwierzytelnieniu zdalnej maszyny, zestawiany jest tunel VPN. W tym momencie zdalny komputer staje się częścią sieci prywatnej, podobnie jak komputery bezpośrednio do niej podpięte. IPSec uważany jest za najbezpieczniejszy rodzaj sieci wirtualnej, ponieważ wykorzystuje tzw. silną kryptografię oraz rozbudowane mechanizmy uwierzytelniania. IPSec jest tak naprawdę kolekcją protokołów kryptograficznych i uwierzytelniających. Literatura 1. M. Stawowski, Projektowanie i praktyczne implementacje sieci VPN, Warszawa Artykuły NetWord: 3. M. Serafin, Sieci VPN: Zdalna praca i bezpieczeństwo danych, Helion RFC 2401, Security Architecture for the Internet Protocol (IPsec overview) Obsolete by RFC RFC 2410, The NULL Encryption Algorithm and Its Use With IPSec, RFC 2411: IP Security Document Roadmap. 6. Configuring IPsec Between Two Routers and a Cisco VPN Client 4.x, Cisco Systems, 7/