VPN Virtual Private Network Uycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1
Spis treci 1. CO TO JEST VPN I DO CZEGO SŁUY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC VPN... 3 4. METODY UWIERZYTELNIANIA... 4 5. CERTYFIKATY CYFROWE... 4 5.1. ZASTOSOWANIE CERTYFIKATÓW CYFROWYCH... 5 5.2. SPOSÓB UZYSKANIA CERTYFIKATU DLA URZDZE VPN... 5 5.3. ZALETY STOSOWANIA CERTYFIKATÓW... 5 5.4. URZDZENIA WSPIERAJCE CERTYFIKATY CYFROWE... 5
1. Co to jest VPN i do czego słuy Skrót VPN (z ang. Virtual Private Network) oznacza Wirtualn Sie Prywatn, zwan potocznie sieci VPN. Sieci VPN pozwalaj w sposób bezpieczny łczy ze sob sieci i komputery z wykorzystaniem niezaufanego i niebezpiecznego medium, jakim jest np. Internet, linie dzierawione czy łcza radiowe. Transmisja pomidzy poszczególnymi sieciami i komputerami odbywa si poprzez szyfrowane i zabezpieczone wieloma mechanizmami wirtualne tunele. 2. Rodzaje sieci VPN Jest wiele rodzajów sieci VPN rónicych si sposobem realizacji transmisji, stosowanymi mechanizmami zapewniajcymi bezpieczestwo i cechami funkcjonalnymi. Wród nich wyróniamy: 1) oparte na protokole IPSec a) sieci typu site-to-site łczce ze sob w sposób bezpieczny dwie lub wicej sieci; tunele pomidzy tymi sieciami najczciej s zakoczone na dedykowanych urzdzeniach takich jak routery z funkcj VPN, firewalle lub koncentratory VPN; nie wymagaj instalacji adnego oprogramowania na komputerach; b) sieci typu remote-access lub client-to-site łczce w sposób bezpieczny pojedyncze komputery z sieciami; wymagaj instalacji na komputerach specjalnego oprogramowania typu VPN Client 2) oparte na protokole SSL najczciej typu remote-access, nie wymagaj instalacji specjalnego oprogramowania na komputerze, za to maj mniejsz funkcjonalno ni sieci VPN oparte na protokole IPSec 3) oparte na innych protokołach / technologiach, np. L2TP 3. Zalety stosowania sieci IPSec VPN zapewnienie poufnoci poprzez szyfrowanie danych silnymi algorytmami kryptograficznymi, zapewnienie integralnoci poprzez uniemoliwienie modyfikacji danych w trakcie transmisji, uwierzytelnianie stron poprzez zapewnienie, e nikt nie podszył si pod adn ze stron, zapewnienie niezaprzeczalnoci, które oznacza, e strony nie mog zaprzeczy, e nie wysłały danej informacji, o ile informacja ta była podpisana kluczem prywatnym i podpis został poprawnie zweryfikowany. VPN Virtual Private Network Co to jest VPN i do czego słuy 3
4. Metody uwierzytelniania Zanim zostanie zestawiony wirtualny tunel VPN, obie strony musz si wzajemnie uwierzytelni, aby mie pewno, e urzdzenie po drugiej stronie tunelu jest tym, za kogo si podaje. Istniej trzy metody uwierzytelniania: hasło statyczne, klucze współdzielone (pre-shared key): W trakcie przygotowywania do pracy urzdzenia klucz wpisuje si bezporednio do pliku konfiguracyjnego. Metody tej nie poleca si z uwagi na łatwo popełnienia pomyłki w trakcie konfiguracji, moliwo podszycia si trzeciej strony w przypadku kompromitacji klucza a take z przyczyn administracyjnych (problematyczne jest zarzdzanie połczeniami w obrbie kilku czy kilkunastu urzdze) klucze publiczne RSA: Na kadym z urzdze biorcych udział w połczeniu generowana jest para kluczy: prywatny-publiczny. Klucze publiczne naley nastpnie wymieni ze wszystkimi uczestnikami połczenia. W procesie tym bierze udział człowiek, który musi rcznie dokona wymiany kluczy. Rozwizanie to jest praktycznie nieskalowalne, przy wikszej liczbie urzdze konieczne jest dokonanie N*(N-1) wymiany kluczy, co jest czasochłonne. Dodatkowo w przypadku kompromitacji jednego z urzdze naley wykasowa stare i wgra nowe klucze na pozostałych urzdzeniach. certyfikaty cyfrowe: (ze wzgldu na swoj struktur stanowi najbardziej zaufany mechanizm uwierzytelniania, moliwe jest zautomatyzowanie procesu ich wymiany w przypadku kompromitacji jednej ze stron. Ta metoda uwierzytelniania cechuje si równie skalowalnoci. Przy N stronach biorcych udział w połczeniu konieczne jest N uwierzytelnie i N certyfikatów) 5. Certyfikaty cyfrowe Przez certyfikat rozumiemy dane podpisane cyfrowo przez tzw. zaufan trzeci stron. Dane, o których mowa zawieraj zazwyczaj nastpujce informacje: Klucz publiczny właciciela certyfikatu. Nazw zwyczajow (np. imi i nazwisko, pseudonim, etc.) Nazw organizacji. Jednostk organizacyjn. Zakres stosowania (podpisywanie, szyfrowanie, autoryzacji dostpu itp.) Czas, w jakim certyfikat jest wany. Informacje o wystawcy certyfikatów. Sposób weryfikacji certyfikatu (np. adres, pod którym mona znale listy CRL). Adres, pod którym znajduje si polityka certyfikacji, jak zastosowano przy wydawaniu tego certyfikatu. Struktura certyfikatu nie jest sztywna i w zalenoci od potrzeb mona umieszcza w niej dodatkowe pola, wykraczajce poza definicj standardu. VPN Virtual Private Network Metody uwierzytelniania 4
5.1. Zastosowanie certyfikatów cyfrowych W rozwizaniach dla sieci VPN certyfikat stanowi element uwierzytelniajcy kad ze stron biorcych udział w połczeniu. Dziki temu rozwizaniu podszycie si pod jedn ze stron biorcych udział w połczeniu jest wysoce nieprawdopodobne. 5.2. Sposób uzyskania certyfikatu dla urzdze VPN Ogólny zarys czynnoci, które naley wykona, by urzdzenia słuce do zestawienia połcze VPN mogły autoryzowa si przy uyciu certyfikatów przedstawione s w kolejnych krokach: 1) Przy uyciu urzdzenia generowana jest para kluczy RSA (tj. klucz publiczny i klucz prywatny) 2) Urzdzenie generuje zbiór danych w standardzie PKCS10, który zawiera jego dane identyfikacyjne oraz publiczny klucz RSA. 3) Klucz publiczny jest przekazywany do urzdu certyfikacji (za porednictwem stosowanego formularza) 4) Urzd certyfikacji po zweryfikowaniu pliku PKCS10 podpisuje go swoim kluczem prywatnym RSA (wystawia certyfikat) 5) Urzdzenie pobiera wystawiony certyfikat cyfrowy, jak równie list CRL i certyfikat urzdu z danego urzdu certyfikacji 5.3. Zalety stosowania certyfikatów uwierzytelniaj strony biorce udział w połczeniu zapewniaj poufno danych zapewniaj integralno danych zapewniaj niezaprzeczalno danych Niektórzy z producentów urzdze z zaimplementowan funkcjonalnoci VPN pozwalaj na dodatkow kontrol uwierzytelnianych poprzez certyfikat stron połcze. Moliwe jest ograniczenie zestawienia sesji jedynie dla połcze uwierzytelnionych certyfikatem pochodzcym od konkretnego dostawcy. Ponadto mona weryfikowa (wymusi) istnienie okrelonych pól certyfikatu, zawierajcych odpowiednie wartoci. Dziki tak rozbudowanym mechanizmom uwierzytelniania certyfikaty w zastosowaniach VPN stanowi najsilniejsze ogniwo, na podstawie którego dopuszcza si bd odrzuca połczenia zdalne, inicjowane przez drug stron, która chce nawiza bezpieczne połczenie z sieci zdaln. Istotn zalet jest te skalowalno rozwiza opartych na certyfikatach. aden inny mechanizm nie daje takiej łatwoci w uaktualnianiu mechanizmów uwierzytelniania, jak zapewniaj certyfikaty. Urzdzenia, które w pełni wspieraj oferowane standardy w praktyce samodzielnie pobieraj nowe certyfikaty, jeli poprzednie zostały wycofane np. poprzez list CRL. Dziki istnieniu zaufanej trzeciej strony ich podrobienie jest wysoce nieprawdopodobne. Stanowi wygodn metod zabezpieczenia sieci dla administratorów, którzy zarzdzaj złoon infrastruktur sieci. W przypadku połcze typu remote-access oprócz łatwoci zarzdzania uytkownicy s autoryzowani przy uyciu silnych mechanizmów uwierzytelniania, przy jednoczesnym zachowaniu skalowalnoci rozwizania. 5.4. Urzdzenia wspierajce certyfikaty cyfrowe routery CISCO koncentratory VPN CISCO routery Juniper serii M urzdzenia serii NetScreen VPN Virtual Private Network Certyfikaty cyfrowe 5
firewalle rodziny CheckPoint inne urzdzenia Od strony sprztu, na którym dokonana zostanie implementacja bezpiecznego uwierzytelnienia połcze VPN przy uyciu certyfikatów wymagane jest jedynie, aby wspierały one cieki certyfikacji. Wymóg ten jest niezbdny z uwagi na sposób realizacji wystawienia certyfikatu dla urzdzenia (zgodnego z ogólnie przyjtym standardem). VPN Virtual Private Network Certyfikaty cyfrowe 6