Bezpieczeƒstwo w us udze Business Everywhere Intranet



Podobne dokumenty
Zdalne logowanie do serwerów

Zastosowania PKI dla wirtualnych sieci prywatnych

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Sieci VPN SSL czy IPSec?

ZiMSK. Konsola, TELNET, SSH 1

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

epuap Ogólna instrukcja organizacyjna kroków dla realizacji integracji

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Opis instalacji systemu Intranet Komunikator

Ewidencja abonentów. Kalkulacja opłat

Bezpieczeństwo systemów informatycznych

5. Metody uwierzytelniania i bezpiecznej komunikacji Certyfikat klucza publicznego oparty o standard X.509

Podstawy Secure Sockets Layer

Business Everywhere- stawiamy na innowacje i konwergencję. Warszawa,28 września, 2005r.

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

dost p do Internetu DSL TP

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE MINISTRA FINANSÓW 1) z dnia 11 wrzeênia 2006 r.

Testowanie i wdrażanie oprogramowania Emulator systemu bankowego

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ. Warszawa, dnia 7 maja 2007 r. Nr 79

Podpis cyfrowy a bezpieczeñstwo gospodarki elektronicznej

Metody zabezpieczania transmisji w sieci Ethernet

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ. Warszawa, dnia 20 wrzeênia 2006 r. Nr 168

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Bezpiecze ństwo systemów komputerowych.

11. Autoryzacja użytkowników

Wyszczególnienie tytu u op aty. Instalacja àcza, na którym Êwiadczona b dzie us uga dost p do Internetu DSL tp **. Wyszczególnienie tytu u op aty

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

SSL (Secure Socket Layer)

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

WSIZ Copernicus we Wrocławiu

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

EGZAMIN POTWIERDZAJ CY KWALIFIKACJE W ZAWODZIE Rok 2014 CZ PRAKTYCZNA

Protokół IPsec. Patryk Czarnik

OPIS PRZEDMIOTU ZAMÓWIENIA

Wykorzystanie protokołu T=CL w systemach kontroli dostępu

1. neostrada tp instalacja i aktywacja us ugi 250,00 55,00 305,00

Opis obsługi systemu Ognivo2 w aplikacji Komornik SQL-VAT

Instrukcja instalacji

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Instrukcja postępowania w celu podłączenia do PLI CBD z uwzględnieniem modernizacji systemu w ramach projektu PLI CBD2

Instrukcja. Suscriptor.

Protokół DHCP. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Protokoły zdalnego logowania Telnet i SSH

IMPORT PRZELEWÓW. 1. Schemat dzia ania funkcji IMPORT PRZELEWÓW Dodatkowe zabezpieczenia funkcjonalnoêci IMPORT PRZELEWÓW 2

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Regulamin Usługi Certyfikat SSL. 1 Postanowienia ogólne

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Laboratorium nr 6 VPN i PKI

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Ethernet VPN tp. Twój œwiat. Ca³y œwiat.

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Bringing privacy back

Realizacja projektów 8.3 PO IG na przykładzie Gminy Borzęcin Rafał Bakalarz

Wirtualne sieci prywatne

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Konfiguracja OpenVPN

Bezpieczeństwo korespondencji elektronicznej

Przewodnik użytkownika

Sieci komputerowe. Definicja. Elementy

OPIS PRZEDMIOTU ZAMÓWIENIA

Zdalne odnawianie certyfikatów do SWI

Problemy z bezpieczeństwem w sieci lokalnej

Regulamin promocji Nowy Business Everywhere z modemem

System Użytkowników Wirtualnych

Op aty abonamentowe za us ug Biznesowy Internet SDSL Zaawansowany (umowa na czas nieokreêlony)

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Strategia gospodarki elektronicznej

SET (Secure Electronic Transaction)

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

8. Konfiguracji translacji adresów (NAT)

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

F8WEB CC Polityka Lokalnego Centrum Certyfikacji LCC

Technologia Internetowa w organizacji giełdy przemysłowej

Laboratorium nr 4 Sieci VPN

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Spis treści. Rozdział 1 ewyniki. mmedica - INSTR UKC JA UŻYTKO W NIKA

12. Wirtualne sieci prywatne (VPN)

Sieci komputerowe. Zajęcia 1. Wprowadzenie, model warstwowy sieci

Bezpieczeństwo informacji w systemach komputerowych

Metody uwierzytelniania klientów WLAN

Diody danych.

System Kancelaris. Zdalny dostęp do danych

Polityka Certyfikacji dla Certyfikatów PEMI

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

instrukcja uruchomienia usługi telefonia internetowa tp Twój świat. Cały świat.

Instrukcja pod czenia komputera z systemem Microsoft Windows Vista/7 do sieci PWSZ-FREE-WIFI

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Modem Thomson SpeedTouch 330

Poniżej instrukcja użytkowania platformy

Program sektorowy pn. Program

Authenticated Encryption

Transkrypt:

Bezpieczeƒstwo w us udze Business Everywhere Intranet Us uga Business Everywhere Intranet zosta a zaprojektowana z myślà o Klientach, dla których bezpieczeƒstwo danych firmowych jest niezwykle istotne. Telekomunikacja Polska zastosowa a szereg zabezpieczeƒ zarówno od strony technologii jak równie zagwarantowa a system identyfikacji osób, które mogà uzyskaç dost p do sieci korporacyjnej. W trosce o bezpieczeƒstwo informacji TP zaanga owa a swoich najlepszych specjalistów, którzy stale monitorujà sprawne funkcjonowanie sieci i urzàdzeƒ sieciowych. Dzi ki temu Klienci us ugi Business Everywhere Intranet nie muszà samodzielnie nadzorowaç zabezpieczeƒ w swojej Firmie. Mogà skoncentrowaç si w tym czasie na podstawowej dzia alności i prowadzeniu biznesu. Nadzór nad bezpieczeƒstwem firmowym w ramach us ugi Business Everywhere Intranet przejmuje Telekomunikacja Polska. Klienci us ugi nie muszà inwestowaç w sprz t sieciowy wszystkim tym zajmuje si TP. Us uga Business Everywhere Intranet jest us ugà bezpiecznà poniewa : Dost p do us ugi majà wy àcznie osoby wskazane przez Administratora po stronie Klienta TP autoryzuje u ytkowników na podstawie indywidualnych nazw (loginów) Komunikacja pomi dzy Klientem a siecià korporacyjnà jest oddzielona od dost pu osób trzecich (np. poprzez Internet) Wszystkie po àczenia zabezpieczane sà protoko em szyfrowania IPSec 1 Zagwarantowano bezpieczne procedury dostarczania has a i PIN-u. Administrator po stronie Klienta kreuje u ytkownika oraz has o w portalu Baltic. Z tego poziomu sam generuje has a bàdź przy pomocy generatora bàdź te proponuje w asne. Administrator mo e samodzielnie w razie potrzeby dokonywaç zmiany hase i nikt poza nim nie ma takich uprawnieƒ oraz dost pu. Po wygenerowaniu i zatwierdzeniu nowego has a lub zmianie ju istniejàcego rejestrowane jest ono w bazie LDAP. Bezpieczeƒstwo realizowanych po àczeƒ U ytkownika zapewniane jest przez zastosowanie IPSec, czyli zbioru protoko ów s u àcych implementacji bezpiecznych po àczeƒ oraz wymiany kluczy strona 1

kodowych pomi dzy urzàdzeniami. Protoko y tej grupy wykorzystywane sà do tworzenia bezpiecznej Wirtualnej Sieci Prywatnej (VPN). Przy szyfrowaniu danych w us udze Business Everywhere Intranet stosowany jest IPSec z zastosowaniem algorytmu szyfrujàcego 3DES. Ze wzgl dów bezpieczeƒstwa aplikacja Access Companion, z której korzysta u ytkownik wyklucza mo liwośç zestawienia jednoczesnych po àczeƒ do firmowego Intranetu oraz Internetu. Aby zasi gnàç informacji z globalnej sieci Internet u ytkownik mo e uzyskaç do niej dost p, ale na zasadach, jakie dla jego firmowego konta zdefiniowa Administrator w jego firmie i poprzez firmową bram. Standardowo bezpośredni dost p do Internetu w technologii GPRS/EDGE/3G jest zablokowany. Mo e on jednak zostaç aktywowany na podstawie zlecenia dokonanego przez Administratora us ugi. IPSec IPSec jest zbiorem protoko ów s u àcych do implementacji bezpiecznych po àczeƒ (kana y Wirtualnej Sieci Prywatnej) oraz wymiany kluczy kodowych pomi dzy komputerami. Dane przep ywajàce przez takie po àczenia sà zaszyfrowane a przez to niemo liwe do podejrzenia strona 2

przez osoby trzecie. IPSec jest to standard IETF 2 pe niàcy funkcj zabezpieczenia w warstwie sieci, a co wa ne jednocześnie niezale ny od warstwy aplikacji (http, ftp, smtp). Model warstwowy ISO/OSI i typy zabezpieczania Aplikacji Prezentacji Sesji Transportowa Sieciowa Fizyczna àcza Telnet Sesja TCP TCP / UDP IP Ethernet Twisted Pair PGP SSH SSL IPSec Szyfratory sprz towe IPSec Concentrator Urzàdzenie IPSec Concentrator koncentruje tunele IPSec od u ytkowników, dokonuje uwierzytelnienia i autoryzacji u ytkowników, a nast pnie szyfruje dane wchodzàce do tunelu i odszyfrowuje dane wychodzàce z tunelu. Odszyfrowane dane kierowane sà do sieci Klienta, a samo urzàdzenie pracuje jako wirtualny router sieci transmisji danych danego Klienta. Urzàdzenie to znajduje si dodatkowo za firewall em, przez który przepuszczany jest ca y przychodzàcy ruch (firewall s u y ochronie Gateway a). U ytkownik zestawia àcze do IPSec Concentratora poprzez firewall gdzie nast puje filtracja przychodzàcego ruchu. Na IPSec Concentratorze nast puje autoryzacja i uwierzytelnienie, a dopiero później zestawiany jest bezpieczny tunel VPN IPSec. W momencie zestawiania tunelu jednym z najwa niejszych wymagaƒ jest zapewnienie obu stronom uwierzytelnienia. Pozwala to zabezpieczyç si przed podszyciem si nieuprawnionej osoby pod któràś ze stron. Architektura dost pu przez WiFi Orange Bezpieczeƒstwo HotSpot jest ogólnie dost pnà siecià WiFi w której istnieje mo liwośç nieuprawnionego dost pu do transmitowanych danych. Aplikacja BEW Intranet na tak przygotowanym po àczeniu niebezpiecznym zestawia bezpieczny kana IPSec. Proces zestawiania kana u jest równie odpowiednio zabezpieczony gwarantujàc i w tym momencie bezpieczeƒstwo. strona 3

Bezpieczeƒstwo obejmuje: Separacje ruchu pomi dzy ró nymi osobami pod àczonymi do jednego Hotspota, Anti-rebond u ytkownik nie mo e komunikowaç si z innym u ytkownikiem w obr bie danego Hotspot a, Anti-spoofing podczas autoryzacji przydzielany u ytkownikowi jest adres IP Uwierzytelnienie i autoryzacja u ytkownika za pomocà Kodu statycznego lub etokenu PKI, która nast puje w trakcie zestawienia kana u IPSec, Od momentu zestawienia sesji IPSec wymusza transmisj do sieci Klienta (FR/ATM, ME, IP VPN, SME), Terminal (laptop) u ytkownika akceptuje jedynie ruch z/do Gateway'a BEW Intranet (blokowany jest inny ruch np. do Internetu), Zagwarantowana separacja sieci (dane, adresacja) pomi dzy Klientami Architektura dost pu przez GPRS/EDGE/3G Orange Bezpieczeƒstwo W systemie GPRS/EDGE/3G weryfikacja profilu U ytkownika autoryzacja GPRS realizowana jest w oparciu o kart SIM, oraz autoryzacja dost pu do APN 3 TP. APN y ORANGE dost pne dla Klientów be.tp.pl - Modem otrzymuje prywatne adresy IP, zablokowany jest dost p do Internetu (u ytkownik mo e si po àczyç jedynie z Gateway em), jednostopniowa autoryzacja do Intranetu Internet - Modem otrzymuje prywatne adresy IP, u ytkownik ma dost p do Internetu oraz jednostopniowa autoryzacja do Intranetu PKI - Bezpieczeƒstwo Autoryzacja opiera si o etoken PKI 4 (niewielkie urzàdzenie USB), zapewniajàcy bezpieczny i wygodny sposób uwierzytelniania U ytkownika z u yciem Certyfikatu PKI. Obecnie Klienci majà do wyboru 2 sposoby autoryzacji: Kod statyczny lub PKI. Klienci, którzy obecnie korzystajà z Kodu statycznego b dà mogli równie zamówiç etoken PKI. W ramach PKI Klientom udost pniany jest etoken PKI, który pozwala na uwierzytelnianie u ytkownika. W urzàdzeniu USB umieszczony jest równie klucz 5. Aby zapewniç w aściwy poziom us ugi, PKI realizuje nast pujàce funkcje: rejestracja, certyfikacja, generacja kluczy, odnawiania kluczy, certyfikacja wzajemna, odwo anie certyfikatu, odzyskiwanie klucza. strona 4

Infrastruktura Klucza Publicznego Idea PKI oparta jest na cyfrowych certyfikatach 6 potwierdzajàcych zwiàzek mi dzy konkretnymi uczestnikami transakcji a kluczami kryptograficznymi, stosowanymi podczas realizowania bezpiecznych transakcji. Struktura PKI sk ada si z trzech g ównych elementów: Urz dów Rejestracji (ang. Registration Authority - RA), dokonujàcych weryfikacji danych u ytkownika a nast pnie jego rejestracji. Urz dów Certyfikacji (ang. Certification Authority - CA), wydajàcych certyfikaty cyfrowe. Jest to poprzedzone procesem identyfikacji zg aszajàcego si o wydanie certyfikatu. Pozytywne rozpatrzenie zg oszenia koƒczy si wydaniem certyfikatu wraz z datà jego rozpatrywania. Repozytoriów kluczy, certyfikatów i list uniewa nionych certyfikatów (ang. Certificate Revocation Lists - CRLs). Typowa implementacja to umo liwienie, w oparciu o protokó LDAP, dost pu do certyfikatów i CRLs. Inne sposoby realizacji mogà byç oparte na protoko ach X.500, HTTP, FTP i poczcie elektronicznej. Certyfikat mo e staç si niewa ny przed datà jego wygaśni cia. Przyczynà tego mo e byç np. zmiana nazwiska lub adresu poczty elektronicznej u ytkownika czy ujawnienie klucza prywatnego. W takich przypadkach CA odwo uje certyfikat i umieszcza jego numer seryjny na ogólnodost pnej liście CRL. 1 Architektura IPSec gwarantuje bezpieczne przesylanie danych poprzez specjalne protokoły pakietów IP przez sieć Internet. Oryginalny pakiet IP jest szyfrowany oraz otrzymuje nowy nag ówek protoko u IPSec, a dopiero w takiej formie przesy any jest przez sieç. 2 IETF (Internet Engineering Task Force nieformalne, mi dzynarodowe stowarzyszenie osób zainteresowanych ustanawianiem standardów technicznych i organizacyjnych w Internecie). 3 APN (Access Point name) nazwa punktu dost pu. Dla sieci GSM, APN oznacza nazw serwera obs ugujàcego transmisj danych. Wpisanie danych APN u jest niezb dne do korzystania z takich us ug jak WAP lub GPRS. 4 etoken PKI jest silnym wsparciem dwukierunkowej i dwu-składnikowej autentykacji gwarantującym niezaprzeczalność przy dokonywaniu autoryzacji drogą elektroniczną. Posiada on wbudowane mechanizmy umożliwiające generowanie 1024-bitowych kluczy RSA (algorytm kryptografii asymetrycznej), w pełni integruje się z infrastrukturami PKI oraz potrafi generować i przechowywać klucze niezbędne do szyfrowania. Warto zaznaczyć, że nie ma możliwości, aby klucz prywatny opuścił etoken PKI wszystkie informacje przechowywane są w doskonale zabezpieczonym środowisku mikrokontrolera. 5 Klucz (ang. key) jest to specjalna informacja umożliwiająca wykonywanie pewnej czynności kryptograficznej szyfrowania, deszyfrowania, podpisywania, weryfikacji podpisu itp. 6 Cyfrowy certyfikat wydeje Urząd Certyfikacji (Certification Authority CA) potwierdzając wydanie dokumentu podpisem cyfrowym oraz związek pomiędzy użytkownikiem a kluczem, którego używa. Certyfikaty mają zadany okres ważności (np. rok). strona 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres