Bezpieczeństwo Systemów Sieciowych

Podobne dokumenty
Korporacyjne Sieci Bez Granic Corporate Borderless Networks

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

IPsec bezpieczeństwo sieci komputerowych

Protokół IPsec. Patryk Czarnik

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

ZiMSK. Konsola, TELNET, SSH 1

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

8. Tunele wirtualne VPN

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Marcin Szeliga Sieć

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Bezpieczne protokoły Materiały pomocnicze do wykładu

IPSEC z Mikrotik zero to hero Piotr Wasyk

Bezpieczeństwo systemów komputerowych

Sieci VPN SSL czy IPSec?

Zdalne logowanie do serwerów

Sieci wirtualne VLAN cz. I

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Laboratorium nr 6 VPN i PKI

Laboratorium nr 4 Sieci VPN

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Bezpieczne protokoły Główne zagadnienia wykładu

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

tdc 477 Wirtualne sieci prywatne

Tworzenie połączeń VPN.

Zastosowania PKI dla wirtualnych sieci prywatnych

Laboratorium nr 5 Sieci VPN

Projektowanie sieci metodą Top-Down

Mechanizmy zabezpieczeń transmisji w środowisku IPSec

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Konfiguracja aplikacji ZyXEL Remote Security Client:

BADANIE BEZPIECZEŃSTWA ZABEZPIECZONEJ USŁUGI MPLS VPN O ZESTAW PROTOKOŁÓW IPSEC

Wirtualne sieci prywatne

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Badanie bezpieczeństwa IPv6

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Dlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR

Protokół IPX (Internetwork Packet Exchange)

Bezpieczeństwo systemów informatycznych

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Bezpieczeństwo Sieć VPN

IBM i Wersja 7.2. Bezpieczeństwo Sieć VPN (Virtual Private Network)

Badanie wybranych atrybutów bezpieczeństwa i jakości w sieciach IPv4/6

12. Wirtualne sieci prywatne (VPN)

Bezpieczeństwo Sieć VPN

2. Przykładowy scenariusz routingu IP

Tworzenie sieci VPN w środowisku Linux i Windows

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Sieci VPN by Silas Mariusz

Protokoły zdalnego logowania Telnet i SSH

Wprowadzenie do technologii VPN

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Podstawy MPLS. PLNOG4, 4 Marzec 2010, Warszawa 1

Przełączanie i Trasowanie w Sieciach Komputerowych

ZiMSK. VLAN, trunk, intervlan-routing 1

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

VPN i Dostęp zdalny opis ogólny

Virtual Private Network ( VPN ). Zastosowanie, aspekt bezpieczestwa. (IPsec VPN vs. SSL VPN)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Internet Protocol v6 - w czym tkwi problem?

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

Metody uwierzytelniania klientów WLAN

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski ltomasze@elka.pw.edu.pl

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Metody zabezpieczania transmisji w sieci Ethernet

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

Systemy bezpieczeństwa sieciowego

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Wirtualne sieci prywatne

Dr Michał Tanaś(

Wirtualne sieci prywatne

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

CCNA Security : przygotowanie do egzaminu na certyfikat : oficjalny przewodnik / Omar Santos, John Stuppi. Warszawa, 2016.

Protokół DHCP. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Bezpieczny system telefonii VoIP opartej na protokole SIP

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Transkrypt:

Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl BSS - 2013 1

Co dalej? VPN IDS, IPS Application Firewall (zagrożenia w warstwie aplikacji głównie web w tym także DNS) TOR, Sandbox, Honeypot Backup BSS - 2013 2

VPN VPN (ang. Virtual Private Network) to wirtualna sieć, zestawiana z wykorzystaniem sieci współdzielonej. Głównym zadaniem VPN jest zapewnienie bezpieczeństwa danym przez nie przesyłanym poprzez: mechanizmy szyfrowania, uwierzytelniania, weryfikacji integralności danych. BSS - 2013 3

VPN klienta, VPN usługodawcy VPN zestawiane przez usługodawcę za ich konfigurację oraz utrzymanie jest odpowiedzialny usługodawca. VPN zestawiane przez klienta za ich konfigurację oraz utrzymanie odpowiedzialny jest klient. BSS - 2013 4

Historia VPN Pierwsze sieci VPN to były zwykłe tunele, bez uwierzytelniania i szyfrowania. Przykład: Generic Routing Encapsulation (GRE) jest protokołem do tunelowania opracowanym przez Cisco mogącym enkapsulować szeroki zakres protokołów w tunelu IP. Tunel tworzy wirtualny link typu point-to-point pomiędzy urządzeniami poprzez sieć publiczną (IP). Inne przykłady technologii pseudo VPN (linki point-to-point bez uwierzytelniania i szyfrowania): Frame Relay, ATM PVC, Multiprotocol Label Switching (MPLS). BSS - 2013 5

Zalety VPN Poufność bo szyfrowanie, najczęściej to jest kojarzone z sieciami VPN. Obniżanie kosztów poprzez używanie taniego i popularnego Internetu do łączenia zdalnych biur i użytkowników. Bezpieczeństwo wysoki poziom bezpieczeństwa dzięki najlepszym metodom uwierzytelniania oraz szyfrowania. Skalowalność dzięki wykorzystaniu Internetu łatwo dołączać kolejnych użytkowników (nowe lokalizacje) bez konieczności wymiany urządzeń i łączy. Kompatybilność z technologiami szerokopasmowymi to co przesyła IP poradzi sobie z także VPN... A to ważne bo tylko wydajne łącza zapewnią komfortową pracę. BSS - 2013 6

Architektury VPN BSS - 2013 7

Architektury VPN: Site-to-Site BSS - 2013 8

VPN protokoły BSS - 2013 9

VPN Przykłady VPN L3: Generic Routing Encapsulation (GRE) opracowany przez Cisco następnie zestandaryzowany (RFC 1701, RFC 1702). MPLS zestandaryzowany przez IETF. MPLS VPN usługa świadczona przez ISP użycie etykiet do enkapsulacji oryginalnych danych. IPsec zestaw protokołów opracowany pod nadzorem IETF aby zapewnić bezpieczną wymianę danych poprzez sieci IP. IPsec pozwala na: uwierzytelnianie, integralność, kontrolę dostępu, poufność. BSS - 2013 10

Architektury VPN: Remote Access BSS - 2013 11

Architektury VPN: Remote Access BSS - 2013 12

VPN RA VPN IPsec RA wymaga dodatkowego soft u na stacji klienta. SSL VPN tylko Web browser: dostęp do stron i usług (pliki, e-mail, aplikacje bazujące na TCP): brak dodatkowego soft, dowolna stacja przyłączona do Internetu. SSL VPN trzy tryby dostępu: clientless, thin, full (thin i full RA musi pobrać applet Java, który zajmie się przekazywaniem danych (np. TCP) do sieci docelowej). SSL VPN jest dobry dla użytkowników, którzy korzystają z pojedynczej aplikacji albo serwera. SSL VPN nie zastąpi IPsec VPN gdyż IPsec VPN pozwala na bezpieczny dostęp do wszystkich zasobów i aplikacji klient-serwer. BSS - 2013 13

VPN RA BSS - 2013 14

VPN RA SSL VPN trzy tryby dostępu: Clientless Thin client (nazywany także TCP port forwarding. Java applet występuje jako TCP proxy na maszynie klienta dla usług skonfigurowanych na bramie SSL VPN). Full client (pełny dostęp do zasobów sieci korporacyjnej poprzez tunel SSL VPN. Java applet jest pobierany przez przeglądarkę aby utworzyć i zarządzać tunelem pomiędzy hostem klienta a bramą SSL VPN. Użytkownik może używać dowolnej sieciowej aplikacji w sieci korporacyjnej). Cisco IOS router pozwala na trzy tryby: clientless, thin client, full client. ASA obsługuje dwa tryby: clientless (zwiera clientless i thin client port forwarding), AnyConnect client (realizuje full tunnel). BSS - 2013 15

VPN protokoły BSS - 2013 16

Protokoły tunelowania BSS - 2013 17

Wybór technologii VPN BSS - 2013 18

Tunel jako połączenie punkt-punkt BSS - 2013 19

GRE Generic Routing Encapsulation (GRE) jest protokołem do tunelowania zdefiniowanym w RFC 1702 i RFC 2784. Opracowany przez Cisco do tworzenia wirtualnych linków point-to-point pomiędzy routerami Cisco a zdalnymi punktami (poprzez sieci IP). Zaletą GRE jest fakt, iż może zostać użyty do tunelowania ruchu nie-ip poprzez sieć IP. IPsec wspiera wyłącznie ruch unicast, GRE wspiera także ruch multicast i broadcast. GRE nie zapewnia możliwości szyfrowania. Jeśli jest ono potrzebne należy użyć IPsec. BSS - 2013 20

GRE BSS - 2013 21

Enkapsulacja za pomocą GRE BSS - 2013 22

GRE - konfiguracja BSS - 2013 23

IPSec BSS - 2013 24

Urządzenia Routery i przełączniki (Cisco IOS VPN-enabled). Zapory sieciowe (Cisco ASA 5500 Series Adaptive Security Appliances). Koncentratory VPN (Cisco VPN 3000 Series) Concentrators. Routery SOHO. Inne dedykowane urządzenia (Juniper MAG Series). BSS - 2013 25

BSS - 2013 26

ASA 5500-X BSS - 2013 27

Software Software (klient) do IPsec VPN RA: Certicom client Cisco VPN Client software Cisco Remote Router VPN Client Cisco AnyConnect VPN Client BSS - 2013 28

Wydajność Moduły zwiększające wydajność (problem wydajności szyfrowania): AIM - Cisco routers. Cisco IPsec VPN Shared Port Adapter (SPA) - Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers. Cisco PIX VPN Accelerator Card+ (VAC+) - The PIX Firewall VAC+ hardware acceleration DES, 3DES, AES. BSS - 2013 29

IPSEC IPsec jest zbiorem standardów IETF (RFC 2401-2412) określających jak VPN może być tworzony poprzez sieci IP. IPsec nie jest związany z konkretnymi metodami szyfrowania, uwierzytelniania, przesyłania klucza. IPsec framework zwiera otwarte standardy określające zasady bezpiecznej komunikacji. IPsec działa na poziomie warstwy L3 (Network Layer), chroniąc i uwierzytelniając pakiety IP pomiędzy węzłami IPsec. IPsec może chronić cały ruch warstw wyższych (L4-L7). BSS - 2013 30

IPSEC framework BSS - 2013 31

IPSEC framework IPsec framework funkcje bezpieczństwa: Poufność (Confidentiality), Integralność (Integrity), Uwierzytelnianie (Authentication), Wymiana klucza (Secure key excange). BSS - 2013 32

Hashed Message Authentication Codes (HMAC) Hashed Message Authentication Codes (HMAC) weryfikacja integralności danych: BSS - 2013 33

Secure Key Exchange DH Group 1: 768-bit group: czas generacji klucza x DH Group 2: 1024-bit group: czas generacji klucza 2x DH Group 5: 1536-bit group: czas generacji klucza 6x Group 7 wspiera ECC (Elliptical Curve Cryptography - Kryptografia Krzywych Eliptycznych): redukcja czasu generacji klucza. ECC oferuje bezpieczeństwo porównywalne do RSA przy znacznie krótszych kluczach. Ocenia się, że bezpieczeństwo klucza RSA o długości 1024 bitów jest równoważne bezpieczeństwu klucza ECC o długości 160 bitów. BSS - 2013 34

IPSEC framework IPsec framework otwartych standardów. Bazuje na istniejących rozwiązaniach. Dwa główne protokoły w IPsec framework to: AH i ESP: Authentication Header (AH) (IP protocol 51) Encapsulating Security Payload (ESP) (IP protocol 50) Protokoły IP: http://en.wikipedia.org/wiki/list_of_ip_protocol_numbers BSS - 2013 35

IPSec BSS - 2013 36

IPSec BSS - 2013 37

Tunel vs Transport BSS - 2013 38

AH Problemy AH w środowiskach z NAT. BSS - 2013 39

AH BSS - 2013 40

AH BSS - 2013 41

AH Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem AH np.: ESP, TCP, UDP (zależnie od aplikacji). Payload Length: Określa długość AH w 32-bitowych słowach (4- bajtowe jednostki), minus 2. RESERVED: Zarezerwowane na przyszłe potrzeby, obecnie wartość 0. Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu. Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów. Authentication Data: HMAC + padding. Wg RFC 2402 AH wspiera minimum: HMAC-MD5-96 i HMAC-SHA1-96. BSS - 2013 42

ESP Detekcja duplikatów pakietów (anti-replay) wspierana przez AH i ESP. BSS - 2013 43

ESP BSS - 2013 44

ESP BSS - 2013 45

ESP Security Parameter Index (SPI): Identyfikacja SA (Security Association) użytego do uwierzytelniania tego pakietu. Sequence Number: Numer wiadomości przesyłany od nadawcy do odbiorcy przy użyciu obecnego SA. Wartość początkowa 1. Zapewnia ochronę przed duplikatami pakietów. Protected Data: Różna długość, dane potrzebne do ochrony transmisji np. initialization vector w algorytmach szyfrowania. Padding: Blokowe algorytmy szyfrujące wymagają aby tekst jawny miał określoną długość. Pad Length: Długość paddingu. Next Header: Nagłówek jakiego protokołu będzie za nagłówkiem ESP. Authentication Data: HMAC + padding. BSS - 2013 46

SA - Security Association IPsec VPN negocjuje parametry wymiany klucza, ustanawia shared key, uwierzytelnia węzły, negocjuje parametry szyfrowania. Ustalone parametry pomiędzy węzłami są znane jako SA (Security Association). BSS - 2013 47

IKE IKE używa UDP i portu 500 do wymiany informacji o metodach kryptograficznych pomiędzy węzłami. IKE jest zdefiniowane w RFC 2409. Jest protokołem hybrydowym łączącym metody wymiany klucza: Internet Security Association and Key Management Protocol (ISAKMP) Oakley and Skeme. ISAKMP określa format wiadomości, protokóły wymiany klucza, proces negocjacji prowadzący do utworzenia/wybrania SA dla IPsec. ISAKMP musi wynegocjować identyczne parametry w obu węzłach. BSS - 2013 48

IKE BSS - 2013 49

IKE faza 1 Zadania (wymiany) IKE faza 1: First Exchange: Węzły negocjują a następnie akceptują używane do zabezpieczenia komunikacji IKE. Zamiast negocjować każdy protokół osobno, protokoły są grupowane w zbiory nazywane IKE policy sets. IKE policy sets są wymieniane pomiędzy węzłami w pierwszej kolejności. Second Exchange: Wymiana kluczy za pomocą DH i ustanowienie shared secret key poprzez niebezpieczny kanał komunikacyjny. Third Exchange: Każdy węzeł musi uwierzytelnić pozostałe węzły zanim transmisja może zostać uznana za bezpieczną. Metody: PSK, RSA signature, RSA encrypted nonce. BSS - 2013 50

IKE faza 2 IKE faza 2 realizuje poniższe funkcje: Negocjuje parametry bezpieczeństwa dla samego Ipsec znane jako IPsec transform sets. Ustanawia SA dla IPsec. Cyklicznie renegocjuje SA dla IPsec aby zwiększyć ochronę. BSS - 2013 51

Proces negocjacji dla IPSec BSS - 2013 52

Co dalej? VPN IDS, IPS Application Firewall (zagrożenia w warstwie aplikacji głównie web, w tym także DNS, PKI i inne) TOR, Sandbox, Honeypot Backup BSS - 2013 53

BSS KONIEC BSS - 2013 54

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres