PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA



Podobne dokumenty
Sieci VPN SSL czy IPSec?

Zdalne logowanie do serwerów

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

12. Wirtualne sieci prywatne (VPN)

INSTRUKCJA INSTALACJI SYSTEMU

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

11. Autoryzacja użytkowników

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

4. Podstawowa konfiguracja

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Protokoły zdalnego logowania Telnet i SSH

System Kancelaris. Zdalny dostęp do danych

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

SMB protokół udostępniania plików i drukarek

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Marek Pyka,PhD. Paulina Januszkiewicz

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Pomoc dla r.

ZiMSK. Konsola, TELNET, SSH 1

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Zastosowania PKI dla wirtualnych sieci prywatnych

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Pierwsze kroki w systemie

Wprowadzenie do zagadnień związanych z firewallingiem

Instrukcja instalacji Asystenta Hotline

Przewodnik technologii ActivCard

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

POLITYKA E-BEZPIECZEŃSTWA

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Logowanie do aplikacji TETA Web. Instrukcja Użytkownika

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Usługi terminalowe

CEPiK 2 dostęp VPN v.1.7

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Instrukcja konfiguracji funkcji skanowania

BRINET Sp. z o. o.

Zapewnienie dostępu do Chmury

1. Zakres modernizacji Active Directory

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

OFERTA NA SYSTEM LIVE STREAMING

Produkty. ESET Produkty

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Asystent Hotline Instrukcja instalacji

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

Bezpieczeństwo usług oraz informacje o certyfikatach

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Jak wykorzystać Pulpit Zdalny w Windows 2003 Serwer do pracy z programem FAKT

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

Kancelaria Prawna.WEB - POMOC

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

SIŁA PROSTOTY. Business Suite

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Komunikacja przemysłowa zdalny dostęp.

DESlock+ szybki start

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

bezpieczeństwo na wszystkich poziomach

Praca w sieci z serwerem

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Rozwiązanie Compuware Data Center - Real User Monitoring

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi

Palo Alto firewall nowej generacji

WOJEWÓDZTWO PODKARPACKIE

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

PARAMETRY TECHNICZNE I FUNKCJONALNE

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Usługi sieciowe systemu Linux

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Telefonia Internetowa VoIP

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Metryka dokumentu. str. 2. Tytuł. CEPiK 2 dostęp VPN. Centralny Ośrodek Informatyki. Zatwierdzający. Wersja Data Kto Opis zmian.

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Stosowanie ciasteczek (cookies)

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Autor: Szymon Śmiech. Protokół IPSec oferuje kilka nowych funkcji w systemach z rodziny Windows Server Oto niektóre z nich:

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

Zdalny dostęp SSL. Przewodnik Klienta

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

Transkrypt:

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać temu wymaganiu i jednocześnie utrzymywać odpowiednią ochronę danych tak, aby nie dostały się w ręce konkurencji. Zapewnienie zdalnego dostępu dla pracowników, klientów i partnerów - zwykle poprzez sieć Internet - do wewnętrznych zasobów systemu informatycznego odbywa się najczęściej za pomocą rozwiązań VPN. Jako alternatywa dla tradycyjnych sieci VPN opartych o standardy IPSec i IKE w ostatnich latach pojawiła się nowa generacja rozwiązań zdalnego dostępu - SSL VPN. W zastosowaniach biznesowych, gdzie najważniejszy jest swobodny dostęp do informacji rozwiązania oparte o IPSec są często za mało elastyczne i posiadają ograniczone możliwości kontrolowania użytkowników i aplikacji. Rozwiązania SSL VPN zostały zaprojektowane tak, aby w łatwy sposób udostępniać określone aplikacje i dane systemu informatycznego i jednocześnie zapewniać im wysoki poziom ochrony. Użytkownicy uzyskują dostęp do informacji poprzez portale aplikacyjne i wykorzystują do tego zwykłe przeglądarki Web. Rys 1.) Koncepcja działania portalu aplikacyjnego SSL VPN CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: support@clico.pl, orders@clico.pl.; Ftp.clico.pl.; http://www.clico.pl

Analiza bezpieczeństwa SSL VPN Właśnie swoboda dostępu do informacji (np. z hoteli, kawiarenek internetowych) oraz fakt korzystania z przeglądarek Web budzą duże kontrowersje w kwestii bezpieczeństwa SSL VPN. Błędy występujące w przeglądarkach i potencjalne możliwości ich wykorzystania, np. do zainstalowania na komputerze użytkownika Trojana czy Spyware, sprawiają że rozwiązania SSL VPN postrzegane są jako mniej bezpieczne od tradycyjnych systemów zdalnego dostępu opartych o IPSec. Z technicznego punktu widzenia jest to stwierdzenie całkowicie niesłuszne. SSL VPN jako kompletne rozwiązanie zdalnego dostępu oferuje wyższy poziom bezpieczeństwa od konwencjonalnych rozwiązań VPN. Można także spotkać się z innymi negatywnymi opiniami nt. rozwiązań SSL VPN, dotyczącymi ograniczeń ich funkcjonalności, np. problemów z dostępem do aplikacji innych jak HTTP. Opinie te wynikają jednak z nieznajomości dobrej klasy rozwiązań SSL VPN i opieraniu się na popularnych w Polsce, ale technicznie niskiej jakości produktach. Przedstawione w dalszej części opracowania informacje nt. funkcjonalności i bezpieczeństwa SSL VPN są prawdziwe dla dobrej klasy rozwiązań, np. Juniper NetScreen Secure Access. Rys. 2) Przykładowy portal aplikacyjny SSL VPN 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2

Portale aplikacyjne SSL VPN oferują wysoki poziom ochrony danych przesyłanych w sieci. Transmisja danych jest zabezpieczona za pomocą protokołu SSL oraz sprawdzonych technik kryptograficznych, m.in. algorytmów szyfrowania i uwierzytelniania danych. Identyfikacja i uwierzytelnianie użytkowników odbywa się w oparciu o wiarygodne metody kontroli tożsamości,m.in. certyfikaty cyfrowe, hasła dynamiczne RADIUS i SecureID. Dodatkowo rozwiązania SSL VPN posiadają możliwości weryfikacji stanu bezpieczeństwa komputera użytkownika. Kontrola może odbywać się przed zestawieniem sesji VPN oraz w czasie jej trwania. Do tego celu służy zintegrowany z bramą SSL VPN moduł inspekcyjny tzw. Host Checker. Typowe rozwiązanie Host Checker poddaje weryfikacji zabezpieczenia Personal Firewall, działanie skanera Anty-Wirusowego i aktualizację jego bazy, środki ochrony Anty-Spyware, zawartości rejestru, a także obecność w systemie określonych plików i procesów. Tabela 1. Wymagania biznesowe ustalają politykę dostępu do informacji Wymagania bezpieczeństwa Kim jest użytkownik? Jak wrażliwe są zasoby? Z jakiej lokalizacji uzyskuje dostęp? Co może przedostać się do sieci z komputera użytkownika? Czy użytkownik spełnia wymagania zabezpieczeń? Czy coś zmieniło się w trakcie trwania sesji? Kiedy użytkownik powinien mieò dostęp do określonych informacje? Elementy polityki bezpieczeństwa portalu SSL VPN Nazwa użytkownika, limit jednoczesnych użytkowników w domenie, atrybuty użytkownika, atrybuty certyfikatu, grupy (statyczne, dynamiczne), role Wymagany rodzaj uwierzytelnienia, hasło dwu-składnikowe, certyfikat, długość/polityka haseł Zainstalowany certyfikat, User Agent (przeglądarka), źródłowy adres IP komputera Host Checker, źródłowy adres IP komputera Host Checker, Cache Cleaner, certyfikat, User Agent (przeglądarka) Ponowna kontrola Host Checker, sprawdzenie stanu Cache Cleaner Data, czas logowania Adaptacyjna polityka bezpieczeństwa W portalu SSL VPN uprawnienia użytkowników mogą być ustalane w formie szczegółowej polityki dostępu do zasobów systemu informatycznego opartej o role (rolebased policy). Użytkownicy przed uzyskaniem dostępu do zasobów systemu informatycznego logują się do portalu, gdzie widzą tylko te aplikacje, do których, zgodnie z ustalaną na bieżąco polityką bezpieczeństwa, posiadają uprawnienia. W portalu SSL VPN została zaimplementowana koncepcja adaptacyjnej polityki bezpieczeństwa, gdzie prawa dostępu określonego użytkownika są ustalane w zależności od wielu czynników, m.in.: uprawnień nadanych dla użytkowników i grup, aktualnego miejsca przebywania użytkownika, zastosowanej metody uwierzytelniania, stanu bezpieczeństwa komputera użytkownika. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3

Rozwiązania SSL VPN posiadają możliwości integracji z systemami aplikacji w zakresie jednokrotnego uwierzytelniania użytkowników Single-Sign On (SSO). Brama SSL VPN po dokonaniu uwierzytelniania tożsamości użytkownika może przekazać te dane do aplikacji, m.in. serwerów Web, serwerów plików. Portal aplikacyjny SSL VPN dodatkowo podwyższa wśród użytkowników świadomość istnienia środków nadzoru i konieczności przestrzegania zasad bezpieczeństwa, np. poprzez odpowiednio przygotowany układ interfejsu GUI oraz komunikaty i ostrzeżenia. Typowe problemy działania VPN W konwencjonalnej sieci VPN komunikacja odbywa się za pomocą protokołów IPSec (IP-50) oraz IKE (UDP-500). Protokół IPSec służy do zabezpieczenia transmisji danych. Za pomocą protokołu IKE odbywa się negocjowanie parametrów sieci VPN,tzn. ustalenie algorytmów oraz kluczy szyfrowania i uwierzytelniania danych. W rzeczywistych warunkach sieci Internet komunikacja VPN napotyka na wiele problemów, m.in. protokoły IP-50 i UDP- 500 w typowych punktach dostępowych są blokowane (np. stanowiska dostępu do Internetu w hotelach, na lotniskach); standardowo zestawiony tunel VPN nie funkcjonuje poprawnie, jeżeli na drodze VPN wykonywana jest translacja adresów NAT; uwierzytelnianie za pomocą certyfikatów cyfrowych X.509 i przekazywanie list CRL powoduje konieczność wykonywania fragmentacji pakietów w tunelu VPN, co skutkuje znacznym obniżeniem wydajności. Pomimo, że producenci dostarczają liczne rozszerzenia swoich implementacji VPN (np. mechanizm NAT-Traversal umożliwiający wykonywanie NAT na drodze VPN) nie wszystkie problemy udaje się rozwiązać. W portalu aplikacyjnym SSL VPN nie występują ww. problemy. Komunikacja odbywa się za pomocą popularnego protokołu SSL (TCP-443), który w większości sieci dostępowych jest zezwolony (np. stanowiska dostępu do Internetu w hotelach, na lotniskach, itp.). Dla SSL nie stanowi problemu translacja adresów na drodze VPN, ani też nadawane dynamicznie adresy IP z klasy prywatnej. Dostęp do zasobów systemu informatycznego wymaga od użytkownika zalogowania się do portalu za pomocą przeglądarki Web. Korzystanie z zasobów może odbywać się przez wbudowane w bramę SSL VPN aplikacje klienckie (np. klient poczty, klient terminala Telnet/SSH, klient systemu plików MS Windows lub NFS), bądź też za pomocą typowych aplikacji systemu informatycznego na zasadach analogicznych jak w sieci lokalnej. W przypadku korzystania ze zwykłych aplikacji ich komunikacja sieciowa z serwerami jest tunelowana w sesjach SSL. Do tego celu z portalu aplikacyjnego SSL VPN zostaje uruchomiony na komputerze użytkownika specjalny moduł pośredniczący (Java lub ActiveX), który odpowiada za zestawianie sesji SSL i odpowiednie tunelowanie ruchu sieciowego. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4

Rys. 4) Konfiguracja SSL VPN w zakresie weryfikacji stanu komputera użytkownika Ograniczenia rozwiązań VPN Niewątpliwą zaletą IPSec VPN jest bezproblemowa obsługa dowolnych aplikacji TCP/IP. Działanie zabezpieczeń IPSec jest realizowane na niskim poziomie (tzn. w warstwie 3 modelu odniesienia OSI) i dzięki temu jest przezroczyste dla aplikacji i użytkowników. Rozwiązania SSL VPN są pod tym względem mniej uniwersalne. Funkcjonują niezawodnie dla aplikacji działających na stałych portach TCP i sesji inicjowanych po stronie użytkownika. Aplikacje korzystające z dynamicznie nadawanych portów (np. MS Exchange, Citrix) także mogą poprawnie funkcjonować, ale wymagają specjalnej obsługi zaimplementowanej w urządzeniu dostępowym SSL VPN. W rozwiązaniach opartych o IPSec VPN w praktyce wymagane jest zainstalowanie i skonfigurowanie oprogramowania klienta VPN, dostarczanego przez producenta urządzenia dostępowego VPN. Wykorzystanie klienta VPN zawartego w systemach operacyjnych (np. MS Windows) nie jest możliwe w rzeczywistym środowisku Internetu, gdzie komputer użytkownika posiada nadawany dynamicznie prywatny adres IP, a na drodze VPN wykonywana jest translacja adresów NAT. W takiej sytuacji działanie IPSec VPN jest możliwe tylko dzięki dodatkowej funkcjonalności zaimplementowanej przez producenta określonego rozwiązania VPN, np. NAT-Traversal, IKE over TCP. Stosując portale SSL VPN nie ma potrzeby instalowania klientów VPN na komputerach użytkowników. Mogą wystąpić jednak pewne niedogodności, z których należy zdawać sobie sprawę planując to rozwiązanie. Najważniejszym z nich jest potrzeba zalogowania na koncie administratora w celu uzyskania pełnej funkcjonalności portalu. W tym czasie na komputerze użytkownika poprzez przeglądarkę Web pobierane są komponenty poprzez które odbywa się np. tunelowanie w sesjach SSL komunikacji sieciowej aplikacji innych jak HTTP, weryfikacja stanu bezpieczeństwa komputera użytkownika (tzw. Host Checker), czy usuwanie podręcznej pamięci przeglądarki (tzw. Cache Cleaner). Dalsza praca z portalem zwykle może już obywać się z konta zwykłego użytkownika. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5

Nowe zastosowania biznesowe Portale SSL VPN otwierają nowe możliwości budowania systemów e-commerce. Dzięki specjalizowanym urządzeniom SSL VPN tworzenie systemu do prowadzenie handlu elektronicznego jest łatwiejsze. Jedno urządzenie zabezpieczeń może posłużyć przy tym do zapewnienia dostępu i ochrony dla wielu aplikacji i firm, np. sklepów internetowych. Klienci systemu e-commerce najpierw logują się w portalu SSL VPN i po pozytywnym uwierzytelnieniu uzyskują dostęp od usług systemu. Fizyczne odseparowanie procesu logowania użytkowników i świadczenia usług stanowi duże wzmocnienie bezpieczeństwa. Intruzi nie mają bowiem możliwości bezpośredniego zaatakowania serwerów aplikacyjnych e-commerce. Urządzenia SSL VPN przy uwierzytelnianiu sesji mogą korzystać z wielu certyfikatów i obsługiwać wiele urzędów certyfikacji CA. Dane identyfikujące i potwierdzające tożsamość użytkownika mogą zostać przekazane z urządzenia SSL VPN do serwerów dostępowych Web aplikacji e-commerce tak, aby klienci nie musieli tego robić dwukrotnie. Wsparcie dla mechanizmu jednokrotnego uwierzytelniania SSO podnosi wygodę użytkowania portalu. Istotną zaletą jest także odciążenie serwerów aplikacji z wykonywania operacji kryptograficznych SSL. Operacje te wykonywane są przez urządzenie dostępowe SSL VPN. Wydajnościowo dobrej klasy urządzenia dostępowe potrafią obsługiwać nawet do 5000 jednocześnie pracujących użytkowników. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres