Bezpiecze ństwo systemów komputerowych. Virtual Private Network ( VPN ). Zastosowanie, aspekt bezpieczestwa. Autor: Bogumił Żuchowski Virtual Private Network ( VPN ). Zastosowanie, aspekt bezpieczestwa. 1
Plan prezentacji 1. Wprowadzenie - koncepcja sieci VPN 3. IPSec VPN kontra SSL VPN 5. SSL VPN następnej generacji 7. VPN jako sieć zdalnego dostępu 9. Kontrola dostępu i ochrona przed atakami 11. Wybrane produkty IPSec VPN i SSL VPN 13. Podsumowanie
1. Wprowadzenie - koncepcja sieci VPN VPN( Virtual Private Network ) jest prywatn ą sieci ą, która używa publicznej sieci, najczęściej internetu do łączenia zdalnych punktów i użytkowników Wykorzystywane połączenia VPN to dedykowane (linie dzierżawione) oraz połączenia internetowe przebiegające od sieci prywatnej lub korporacyjnej do punktu zdalnego albo zdalnego użytkownika
1. Wprowadzenie - koncepcja sieci VPN Dwa typy sieci VPN : Remote-Access i Site-to-Site Remote-Access, czyli zdalny dostęp, sieć nazywana także VPND (Virtual Private Dial-up Network) Łączy ona użytkownika z sieci ą lokalną
1. Wprowadzenie - koncepcja sieci VPN Site-to-Site, dzięki zastosowaniu zaawansowanych technik szyfrowania oraz specjalnego dedykowanego sprzę tu może połączyć ona wiele rozproszonych punktów ( sieci lokalnych ), za pośrednictwem sieci publicznej. Ten typ VPN dzieli si ę na dwa podtypy: Intranet Ekstranet
1. Wprowadzenie - koncepcja sieci VPN Składniki sieci VPN W zależności od typu VPN użytkownik będzie potrzebował pewnych urządze ń oraz oprogramowania: oprogramowanie klient rezydujące na komputerze każdego zdalnego użytkownika dedykowane urządzenia jak np. zapora ogniowa dedykowany serwer VPN dla usług Dial-up NAS (Network Access Server) używany przez dostawc ę do zapewnienia dostępu do VPN przez zdalnego użytkownika
1. Wprowadzenie - koncepcja sieci VPN Bezpiecze ństwo VPN W VPN przewidziano kilka metod zabezpieczenia danych: Zapora ogniowa stanowi ona rodzaj przegrody między sieci ą prywatn ą a Internetem. Szyfrowanie - większo ści systemów szyfrowania należy do jednej z dwu następuj ących kategorii: Symmetric-key encryption i PKE (Public-Key- Encryption) PGP (Pretty Good Privacy) P. Zimmerman, algorytmy IDEA, RSA i MD5
1. Wprowadzenie - koncepcja sieci VPN Tunelowanie Wiele sieci VPN opiera si ę na tunelowaniu w Internecie. Tunelowanie jest procesem umieszczania całego pakietu w innym pakiecie i wysyłania go przez sieć. W procesie tunelowania bior ą udział trzy rodzaje protokołów: transportowy (Carriel Protocol) kapsułkowania lub tunelowania (Tunneling Protocol) protokół w rodzaju GRE, IPSec, LF, PPTP, LPT protokół przenoszony (Passenger), czyli oryginalne transportowane jednostki danych IPX, NetBEUI, IP oraz innych.
. IPSec VPN kontra SSL VPN IPSec (IP Security): dwa tryby szyfrowania tunelowy i transportowy wszystkie urządzenia musz ą używać wspólnego klucza zapory ogniowe musz ą mieć podobne polityki bezpieczeństwa może szyfrować dane pomiędzy różnymi urządzeniami opiera si ę na trzech protokołach: AH (Authentication Header) ESP (Encapsulating Security Payload) ISAKMP (Internet Security Association and Key Management Protocol)
. IPSec VPN kontra SSL VPN SSL (Secure Sockets Layer): połączenie jest niejawne, stosowane jest szyfrowanie niesyme-tryczne do kluczy [RSA, DSS] oraz symetryczne do danych [DES] tożsamość strony może być zweryfikowana z użyciem metod szyfrowania z kluczami publicznymi połączenie jest rzetelne sprawdzana jest integralno ść wiado-mo ści poprzez używanie MAC (Message Authentication Code) generowanych za pomoc ą funkcji haszujących [ SHA, MD5] Protokół składa si ę z dwóch warstw.
. IPSec VPN kontra SSL VPN IPSec i SSL s ą różnymi technikami. Łączy je to, że obydwie słu żą temu samemu celowi: zarządzaniu i kontroli dostępu użytkowników zdalnych do sieci, jej zasobów i aplikacji IPSec : oferuje bezpieczn ą szyfrowan ą komunikacj ę na poziomie IP jest niezależny od aplikacji każda aplikacja korzystaj ąca z protokołu IP może komunikować si ę za pośrednictwem sieci IPSec VPN chronione s ą wszystkie pakiety wymieniane pomiędzy zdalnymi sieciami lub hostami brama IPSec jest zlokalizowana na brzegu sieci prywatnej
. IPSec VPN kontra SSL VPN SSL : definiuje bezpieczny mechanizm wymiany zaszyfrowanych danych pomi ędzy aplikacjami, na trasie od zdalnego użytkownika do bramy SSL jest niezależny od protokołów niższych warstw takich jak IP nie wszystkie aplikacje mog ą być udostępniane za jego pośrednictwem, odpowiednia usługa powinna mieć bowiem możliwo ść: prezentacji danych, np. w przegl ądarce internetowej transmisji danych przez bram ę SSL VPN interakcji pomiędzy klientem a serwerem aplikacji, zlokalizowanym wewn ątrz sieci prywatnej
. IPSec VPN kontra SSL VPN Za pomoc ą IPSec VPN zdalny komputer uzyskuje dostęp do całej sieci prywatnej, podczas gdy w SSL VPN tylko do konkretnych usług i aplikacji zlokalizowanych wewn ątrz tej sieci.
. IPSec VPN kontra SSL VPN Utrudnienia w momencie zestawienia połączenia IPSec: zdalny komputer staje si ę części ą sieci prywatnej należy zapewnić sprawny przydział adresów (np. DHCP) i ruting z uwzględnieniem zdalnych maszyn s ą wykorzystywane dwa adresy IP: zewnętrzny(sieć operatora) i wewn ętrzny(sieć prywatna) weryfikacja i okreś lenie uprawnie ń dla okreś lonych grup zdalnych użytkowników oraz przyporz ądkowanie im dostępnych zasobów: katalogów, serwerów, portów Powyższe problemy nie istniej ą przy protokole SSL, gdy ż funkcjonuje on powyżej warstwy IP. Pozwala to równie ż uniknąć problemów przy przejściu przez występuj ą ce po drodze serwery NAT (Network Address Translation) i PAT (Port Address Translation)
. IPSec VPN kontra SSL VPN Ze względu na to, że brama SSL VPN znajduje si ę za zapor ą sieciow ą, konieczne jest zapewnienie dodatkowej ochrony sieci prywatnej. Dobrym rozwiązaniem jest umieszczenie bram IPSec i SSL w strefie zdemilitaryzowanej DMZ (DeMilitarized Zone)
3. SSL VPN następnej generacji Spełniaj ą wymagania współczesnej firmy oferując: elastyczno ść (dostęp z dowolnego miejsca i różnych urządze ń: laptopów, PDA, telefonów komórkowych) niskie koszty bezpiecze ństwo sieci firmowej prostota wdroż enia w sieciach SSL VPN jest wykorzystywany protokół SSLv3 lub nowszy TLSv1(Transport Layer Security) zwiększenie bezpiecze ństwa użytkownicy mający łatwy dostęp do sieci firmowej zaprzestaj ą przenoszenia dokumentów na wymiennych dyskach, laptopach, czy jako załączniki do poczty w modelu SSL VPN dla zapewnienia wysokiej poufno ści danych brama VPN może przesyłać zdalnemu użytkownikowi tylko zrzut ekranu aplikacji dostęp do wewn ętrznego DNS poprzez serwer Reverse Proxy
3. SSL VPN następnej generacji Tunel SSL - dostęp do aplikacji typu klient serwer. Aby stworzyć taki tunel użytkownik musi pobrać i zainstalować oprogramowanie klienckie wirtualny adapter Brama SSL VPN - zapewnia dodatkow ą ochron ę, pośredniczy pomi ędzy żądaniami zdalnego klienta a serwerem aplikacji. Zdalne połączenie dociera tylko do bramy, tam jest kończone, a zadanie jest przetwarzane, autoryzowane i tłumaczone na właściwe protokoły i następnie żądanie jest przesyłane poprzez zestawione połączenie do serwera aplikacji Protokoły: ICA (Independent Computing Architecture) RDP (Remote Deskop Protocol) dla serwera terminali Windows, X-11 HTTP lub HTTPS dla serwerów WWW Trójstopniowa polityka dostępu do dokumentów: możliwo ść przegl ądania i kopiowania plików w obrębie sieci firmowej możliwo ść edycji i zapisywania, ale wyłącznie w lokalizacji źródłowej dozwolone jest kopiowanie na maszyn ę klienck ą, co jest rejestrowane
3. SSL VPN następnej generacji
4. VPN jako sieć zdalnego dostępu Istniej ą trzy rodzaje sieci VPN: zaufane (dostawca łącza zachowuje integralno ść i poufno ść przekazu) Sieci takie s ą tworzone w warstwie (obwody ATM, FR, transport ramek z zastosowaniem MPLS Multi Protocol Label Switching) lub w warstwie 3 (sieci BGP/MPLS wg RFC 547, w których BGP Border Gateway Protocol przesyła informacje o trasie VPN wyznaczonej przez dostawc ę, a MPLS transportuje ruch pomiędzy punktami VPN ) bezpieczne (dane transmitowane w formie zaszyfrowanej tworz ą tunel) mog ą być realizowane na trzy sposoby: IPSec z kodowaniem LTP, z wykorzystaniem zabezpiecze ń IPSec zdefiniowanych w RFC 3193 oraz za pomoc ą SSL/TLS VPN hybrydowe
Hybrydowe sieci VPN 4. VPN jako sieć zdalnego dostępu Bezpieczny VPN zabezpiecza dane, ale nie zapewnia niezmienno ści zestawionej trasy i parametrów transmisji. Z kolei zaufany VPN gwarantuje zachowanie odpowiednich parametrów transmisji, np. QoS, lecz nie chroni przed podsłuchem i zmian ą danych. Rozwi ązaniem jest zastosowanie sieci hybrydowej VPN bezpiecze ństwo zapewnione przez użytkowników końcowych (oprogramowanie szyfruj ące) lub przez dostawc ę zestawiaj ącego wirtualne połączenie tworz ąc bezpieczne sieci VPN należy pamiętać o spełnieniu warunków: ruch pomi ędzy użytkownikami szyfrowany i uwierzytelniany, poziom i mechanizmy zabezpiecze ń zgodne po obu stronach tunelu, tylko administrator sieci może zmieniać parametry bezpiecze ństwa
5. Kontrola dostępu i ochrona przed atakami IPSec: Posługuje si ę dwufazowym mechanizmem wymiany kluczy IKEv1 (Internet Key Exchange) mog ą to być certyfikaty cyfrowe X.509, RSA (SecurID) użytkowników i urządze ń, a także tajne klucze Alternatywna metoda uwierzytelnianie XAUTH (Extended Authenticatrion) wymagana znajomoś ć identyfikatora i hasła SSL: Serwery - uwierzytelnianie za pomoc ą certyfikatów cyfrowych Klienci uwierzytelnianie za pomoc ą certyfikatów, hasła, tokenu Uwierzytelnianie asymetryczne w przypadku SSL jest bezpieczniejsze od metody XAUTH w IPSec, gdy ż dane użytkownika i hasła s ą szyfrowane.
5. Kontrola dostępu i ochrona przed atakami SSL jest zdecydowanie lepszym i bezpieczniejszym rozwi ązaniem w przypadku klientów o ograniczonym zaufaniu lub tam, gdzie zainstalowanie certyfikatów może przysparzać trudnoś ci: w komputerach kooperantów, domowych PC itp. Ochrona przed atakami: zastosowanie algorytmów szyfruj ących DES i 3DES najnowszy standard AES (Advanced Encryption Standard) szyfrowanie przy użyciu klucza 56-bitowego w przypadku sieci SSL VPN zaleca si ę stosowanie protokołu TLSv1 Rodzaje ataków: Man-in-the-Middle (IPSec zapobiega wszelkim modyfikacjom pakietów) konflikty mog ą wystąpić w trakcie przesyłania pakietów przez NAT, problem ten nie dotyczy SSL Atak typu DoS (Denial-of-Service) zablokowanie dostępu do określonej usługi, w tym przypadku IPSec radzi sobie lepiej, gdy ż operuje datagramami, które można lepiej przetworzyć aniżeli pakiety (SSL jest bardziej podatny na ataki np. TCP SYN Flooding ze względu na to, że korzysta z sesji TCP co wymaga więcej czasu i zasobów)
6. Wybrane produkty IPSec VPN i SSL VPN Producent IPSec Brama SSL Check Point Check Point VPN-1 VPN-1/FireWall-1 Cisco Systems Rutery VPN Cisco 7100, 7300, 1700, koncentratory Cisco VPN 3000, zapory Cisco Secure PIX, klient sprzętowy IPSec Cisco VPN 300 WebVPN dla koncentratorów serii VPN 3000 (od wersji IOS 4.1) F5 Networks Netscreen Nokia Nortel Networks Symantec NetScreen 5000, 500, 00, 5 Nokia IP350, IP380, IP530, IP710 IP740, IP160 Contivity 00, 600, 1700, 700, 5000 Bramy 5400, urządzenia FireWall/VPN 100, 00, 00R - FirePass Controller Neoteris Access Series 5000, 1000 Secure Access System 1.0 VPN Gateway 3050, Alteon SSL VPN SEA Tsunami 4.0
7. Podsumowanie Projektuj ąc sieć VPN należy zdecydować kiedy korzystać z IPSec, a kiedy z SSL. IPSec jest obecnie standardem przy tworzeniu sieci zdalnego dostępu. Stanowi te ż dobre rozwiązanie dla połącze ń miedzy oddziałami firmy (Site-to-Site) lub dla administratorów potrzebuj ących pełnego dostępu do sieci. Jednak dla mało wymagaj ących użytkowników, a także w celu zapewnienia wysokiego poziomu bezpieczeństwa zasadnicze wydaje si ę stosowanie SSL VPN. Wszystkie powyższe wymagania jest w stanie pogodzić sieć hybrydowa IPSec/SSL VPN. Przy tworzeniu usług zdalnego dostępu, z których domyślnie będzie korzystać wielu użytkowników, lepszym rozwiązaniem jest zastosowanie dedykowanych urządze ń.
Literatura Krystian Ryłko, Zdalnie i bezpiecznie, NetWorld, luty 004 Maciej Koziński, VPN na miarę, PC kurier, 7 czerwiec 003 VPN w warstwie aplikacji, NetWorld, 7-8 003