Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK
Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski
Telekomunikacja i sieci w przedsiębiorstwie Szybkie i sprawne medium wymiany informacji podstawą sukcesu rynkowego Powstają sieci rozległe dla przedsiębiorstw wieloodziałowych/międzynarodowych) wymiana wszelkiej informacji w ramach firmy różnego typu systemy zarządzania firmą komunikacja multimedialna Sieć publiczna - serwisy dla klientów marketing, reklama handel elektroniczny...
Bariery rozwoju rozległych sieci przedsiębiorstw Czasem obawa że sieć utrudni i skomplikuje istniejące procesy działania firmy Coraz rzadziej nieświadomość -brak informacji o istnieniu technologii, czy brak przekonania o słuszności kierunku Często wyłącznie czynniki ekonomiczne
Wymogi dla komunikacji w ramach przedsiębiorstwa Poszukiwane rozwiązanie musi być: Bezpieczne Akceptowalne finansowo Efektywne, sprawne, bezawaryjne Pozwalające na minimalizację kosztów funkcjonowania przedsiębiorstwa...
Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski
Wirtualne sieci prywatne Technologia wirtualnych sieci prywatnych VPN - Wydzielona logicznie struktura oparta o sieć rozległą zapewniająca komunikacje pomiędzy węzłami
Internet w komunikacji Wzrost znaczenia Internetu, coraz więcej funkcji pełnionych przez tradycyjne systemy komunikacyjne może być- i jest realizowane przez Internet.
Dlaczego VPN przez Internet? Zbudowanie dedykowanej infrastruktury telekomunikacyjnej dla przedsiębiorstwa jest przedsięwzięciem kosztownym poprzez zastosowanie technologii VPN w oparciu o Internet możemy uzyskać minimalizację kosztów globalny zasięg
Bezpieczeństwo komunikacji Konieczność zapewnienia mechanizmów bezpieczeństwa danych i transmisji Identyfikacja i uwierzytelnienie Integralność Poufność
Jaki VPN? IPSEC jako jedna z dominujących technologia pozwalająca na budowanie VPN IPSEC jest standardem IETF zapewniającym bezpieczeństwo w warstwie sieci Niezależny od warstwy aplikacji (HTTP, FTP,SMTP...)
IPSEC i model warstwowy ISO/OSI APLIKACJI PREZENTACJI SESJI TRANSPORTOWA SIECIOWA ŁĄCZA FIZYCZNA TELNET SESJA TCP TCP/UDP IP ETHERNET TWISTED PAIR PGP SSH SSL IPSEC szyfratory sprzętowe
Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski
IPSEC Dla zapewnienia usług bezpieczeństwa standard IPSEC definiuje dwa dodatkowe nagłówki AH integralność i autentyczność danych ESP poufność danych
IPSEC negocjacja parametrów bezpieczeństwa Protokół IKE poprzedza nawiązanie połączenia IPSEC- zadania: Negocjacja parametrów bezpieczeństwa Wymiana kluczy szyfrujących sesji (Diffie-Hellman) Uwierzytelnienie stron komunikacji IKE wspiera dwa podstawowe mechanizmy uwierzytelnienia Pre-shared key Public key certificates
Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski
Kryteria wyboru i praktyka Główne czynniki Liczba węzłów sieci/relacji Łatwość zarządzania i implementacji Nakłady finansowe na wdrożenie v. zyski Dla małych sieci powszechnie stosowana metoda pre-shared key Łatwość implementacji (brak konieczności dodatkowych inwestycji)
Cechy metody pre-shared key Wspólny klucz dla pary węzłów Założenie znajomości klucza tylko dla stron komunikacji Bezpieczeństwo wymaga oddzielnego klucza dla każdej relacji Konieczność uzgodnienia i dystrybucji klucza outof-band (protokół IKE tego nie zapewnia) Dla połączeń każdy z każdym (full mash) Dodanie jednego węzła do struktury VPN to dystrybucja n-1 kluczy Usunięcie węzła ze struktury to usunięcie n-1 kluczy
Co z większymi sieciami VPN? Przy większych sieciach (np.+20 węzłów) sytuacja się komplikuje... Metoda pre-shared key nie jest skalowalna
Skalowalności metody z kluczem dzielonym Metoda pre-shared key dla połączeń typu full mash Liczba Węzłów 2 3 4 8 100 N Liczba 1 3 6 28 Połączeń IPSEC 4950 N(N-1)/2
Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski
Certyfikaty i VPN Uwierzytelnienie urządzeń w protokole IKE w oparciu o certyfikat cyfrowy Każde urządzenie posiada indywidualnie przyznany certyfikat (X.509) Certyfikaty są wystawiane przez zaufane Certification Authority (dedykowane lub zewnętrzne) Posiadanie ważnego certyfikatu jest warunkiem pozytywnego uwierzytelnienia Żeby mechanizm certyfikatów był skuteczny CA aktualizuje i publikuje CRL listę certyfikatów unieważnionych
Certyfikaty i VPN Certyfikat zawiera klucz publiczny urządzenia któremu został przyznany (klucz prywatny jest znany wyłącznie właścicielowi - urządzeniu) Oryginalność certyfikatu gwarantuje weryfikacja klucza urzędu
Co jeszcze zawiera certyfikat? Numer wersji Identyfikator Użyty algorytm szyfrowania Informacje o urzędzie który go wystawił Datę ważności Podpis cyfrowy (thumbprint)
Zalety zastosowania certyfikatów dla VPN Centralizacja zarządzania kluczami uwierzytelniającymi dla urządzeń VPN Istotne uproszczenie procesu dodawania i usuwania węzłów sieci (w przeciwieństwie do metody pre-sahred key) Dodanie węzła to wydanie tylko jednego certyfikatu Usunięcie węzła do unieważnienie jednego certyfikatu
Aspekty wdrożenia certyfikatów Przedsięwzięcie organizacyjno-techniczne Procedury,procedury, procedury obsługa procesów przyznawania i unieważniania i certyfikatów publikowanie CRL (dostępność, cykliczność uaktualnienia) jak chcemy obsłużyć sytuację ważność certyfikatu upłynie za tydzień itd...
Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski
urządzenia VPN i certyfikaty Znaczna liczba produktów VPN wspiera użycie certyfikatów proces uzyskania certyfikatu PKCS#10, SCEP, HTTP (przeglądarka) dostęp do CRL HTTP, LDAP Status certyfikatu OCSP Obecność mechanizmu nie gwarantuje współpracy z innymi urządzeniami
Urządzenia VPN i certyfikaty (cd) Istnieje możliwość automatycznego wydawania certyfikatów Brak standaryzowanych mechanizmów zarządzania całym procesem życia certyfikatu Przed upływem ważności certyfikatu niezbędne działanie administratora
Agenda Wstęp Sieci Wirtualne IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy urządzeń? Wnioski
Wnioski Pomimo istotnej roli IPSEC na rynku VPN brak kompleksowych mechanizmów zarządzania kluczami uwierzytelniającymi Wybór metody uwierzytelniania wpływa na bezpieczeństwo sieci VPN opartych o IPSEC Metoda pre-shared key nie jest skalowalna dla dużych sieci
Wnioski (cd) Zastosowanie certyfikatów pozwala na centralne zarządzanie kluczami i upraszcza zarządzanie dużymi sieciami VPN Sieci VPN mają szansę stać się kolejnym istotnym obszarem zastosowania Infrastruktury Klucza Publicznego
Dziękuje, Pytania?