VPN1.pdf
(
275 KB
)
Pobierz
Microsoft Word - VPN.doc
VPN - ł
Ģ
cz si
ħ
bezpiecznie
Gdy w firma staje przed problemem poł
Ģ
czenia odległych od siebie oddziałów,
komputerów w jedn
Ģ
sie
ę
, zwi
ħ
kszenia bezpiecze
ı
stwa poł
Ģ
cze
ı
pomi
ħ
dzy oddziałami
czy umo
Ň
liwienia korzystania z firmowych zasobów danych zdalnym u
Ň
ytkownikom -
rozwi
Ģ
zaniem s
Ģ
wirtualne sieci prywatne VPN (Virtual Private Network).
Dla wirtualnych sieci prywatnych istniej
Ģ
trzy rodzaje zastosowa
ı
:
sieci zdalnego dost
ħ
pu, ł
Ģ
cz
Ģ
ce odległych u
Ň
ytkowników: pracowników mobilnych,
konsultantów, sprzedawców, lokalne filie z macierzyst
Ģ
siedzib
Ģ
,
intranet, ł
Ģ
cz
Ģ
cy odległe oddziały tej samej firmy,
extranet, zapewniaj
Ģ
cy ograniczony dost
ħ
p do sieci firmowej pomi
ħ
dzy zaufanymi
partnerami biznesowymi.
Sieci VPN pozwalaj
Ģ
na zwi
ħ
kszenie liczby telepracowników i pozyskanie odległych
specjalistów mniejszym kosztem. Instytut IES (Institute of Employment Services) szacuje,
Ň
e
w 2010 r. ich liczba w Europie wzro
Ļ
nie do 27 mln.
Zgodnie z definicj
Ģ
VPN Consortium, wirtualna sie
ę
prywatna jest sieci
Ģ
przekazu danych
korzystaj
Ģ
c
Ģ
z publicznej infrastruktury telekomunikacyjnej, która poprzez stosowanie
protokołów tunelowania i procedur bezpiecze
ı
stwa zachowuje poufno
Ļę
danych.
Dane transmitowane na drodze pomi
ħ
dzy zdalnym u
Ň
ytkownikiem a sieci
Ģ
prywatn
Ģ
s
Ģ
przesyłane w formie zaszyfrowanej, tworz
Ģ
c tzw. tunel. Wymienianych informacji nie mo
Ň
na
odczyta
ę
ani w sposób niezauwa
Ň
ony zmieni
ę
ich zawarto
Ļ
ci.
Sieci VPN wykorzystywane s
Ģ
tak
Ň
e do zabezpieczania transmisji w sieciach
bezprzewodowych WLAN. Jest to, jak dot
Ģ
d, najpewniejsza metoda gwarantuj
Ģ
ca poufno
Ļę
,
wobec ujawnianych co pewien czas przypadków przełamania zabezpiecze
ı
sieci WLAN.
Brak dostatecznych mechanizmów zabezpiecze
ı
czyni bowiem firmow
Ģ
sie
ę
Wi-Fi dost
ħ
pn
Ģ
dla ka
Ň
dej anteny znajduj
Ģ
cej si
ħ
w zasi
ħ
gu fal radiowych. W celu łamania zabezpiecze
ı
i
podsłuchu transmisji WLAN powstały nawet specjalne narz
ħ
dzia, np. WepCrack, AirSnort.
Sieci VPN znajduj
Ģ
równie
Ň
zastosowanie przy zabezpieczaniu transmisji VoIP. Pami
ħ
ta
ę
nale
Ň
y,
Ň
e rozmowy telefoniczne trzeba chroni
ę
przed inwigilacj
Ģ
podobnie jak dane
(pisali
Ļ
my o tym w I wyd. CSO "Niebezpiecze
ı
stwa telefonii IP"). Dost
ħ
pne s
Ģ
sprz
ħ
towe
rozwi
Ģ
zania realizuj
Ģ
ce transmisj
ħ
VoIP-VPN. Dzi
ħ
ki poł
Ģ
czeniu telefonii IP z usług
Ģ
VPN
zdalni pracownicy mog
Ģ
korzysta
ę
z firmowych central telefonicznych.
Wdro
Ň
enie sieci VPN jako skalowanego rozwi
Ģ
zania zdalnego dost
ħ
pu przyczynia si
ħ
do
zwi
ħ
kszenia produktywno
Ļ
ci, decentralizacji firmy oraz uniezale
Ň
nienia pracownika od
miejsca pracy. Zaoszcz
ħ
dzi
ę
mo
Ň
na na powierzchni biurowej, a pracodawca staje si
ħ
bardziej
elastyczny.
Rysunek 1. Porównanie IPSec i SSL VPN
Zagro
Ň
enia Firmowe dane przesyłane przez sie
ę
nara
Ň
one s
Ģ
na nast
ħ
puj
Ģ
ce zdarzenia:
Utrata poufno
Ļ
ci.
Je
Ň
eli do transmisji wykorzystane jest niezabezpieczone medium,
wówczas nieuprawniony osobnik mo
Ň
e przechwyci
ę
dane w trakcie ich przesyłania. Gdy na
dodatek dane te nie s
Ģ
skutecznie zaszyfrowane, wtedy transmitowana wiadomo
Ļę
mo
Ň
e by
ę
przez niego odczytana. Na niebezpiecze
ı
stwo utraty poufno
Ļ
ci jeste
Ļ
my równie
Ň
nara
Ň
eni w
przypadku upublicznienia kluczy kryptograficznych oraz haseł.
Modyfikacja przesyłanych danych.
Sytuacja taka ma miejsce, gdy intruz mo
Ň
e ingerowa
ę
w
przesyłane dane, np. po autoryzowaniu poł
Ģ
czenia z bankiem, transakcja mo
Ň
e zosta
ę
zmodyfikowana podczas transmisji. Aby temu zapobiec, stosowane s
Ģ
np. funkcje skrótu,
zwane te
Ň
odciskiem palca (fingerprint), wyliczane na podstawie oryginalnych danych i
porównywane ze skrótem danych przetransmitowanych.
Podszywanie si
ħ
.
Ma miejsce, gdy intruz przedstawia si
ħ
jako legalny u
Ň
ytkownik systemu i
korzysta z poufnych danych. Mo
Ň
e do tego wykorzystywa
ę
skradzione hasła, klucze b
Ģ
d
Ņ
zafałszowany adres sieciowy u
Ň
ytkownika.
Atak na usług
ħ
sieciow
Ģ
(Denial of Service). Metoda ta polega na uniemo
Ň
liwieniu
u
Ň
ytkownikom korzystania z usług i poł
Ģ
cze
ı
. Powoduje to przerwy w pracy firmy oraz
frustracj
ħ
u
Ň
ytkowników. Organizacje korzystaj
Ģ
ce z sieci musz
Ģ
dba
ę
, aby ich systemy były
dost
ħ
pne dla pracowników, klientów.
Sieci VPN
Bezpieczne sieci VPN mog
Ģ
by
ę
tworzone na trzy sposoby: IPSec (IP Security), SSL (Secure
Sockets Layer) oraz L2TP (Layer 2 Tunneling Protocol). Ta ostatnia metoda mo
Ň
e by
ę
wykorzystywana na poziomie sieci operatorskiej.
IPSec VPN
Oprogramowanie klienta nawi
Ģ
zuje poł
Ģ
czenie poprzez Internet do bramy IPSec VPN, po
czym inicjuje procedur
ħ
wymiany kluczy IKE (Internet Key Exchange). Po pomy
Ļ
lnym
uwierzytelnieniu zdalnej maszyny zestawiany jest tunel VPN. Sie
ę
VPN mo
Ň
e pracowa
ę
w
dwóch trybach:
transportowym, w którym w postaci zaszyfrowanej przesyłany jest fragment danych,
tunelowym, gdzie szyfrowany jest cały pakiet. IPSec niejako umieszcza oryginalny
pakiet w swoim własnym pakiecie.
Dowolna aplikacja korzystaj
Ģ
ca z protokołu IP mo
Ň
e komunikowa
ę
si
ħ
za po
Ļ
rednictwem
sieci IPSec VPN. W momencie zestawienia poł
Ģ
czenia IPSec VPN zdalny komputer staje si
ħ
cz
ħĻ
ci
Ģ
sieci prywatnej. Jednorazowe utworzenie tunelu IPsec pomi
ħ
dzy odległymi
maszynami pozwala na zestawianie dowolnej liczby poł
Ģ
cze
ı
.
Sie
ę
korporacyjna po ustanowieniu takiego tunelu ze zdaln
Ģ
maszyn
Ģ
jest praktycznie
bezbronna wobec pochodz
Ģ
cych z niej ataków. Dlatego wa
Ň
ne s
Ģ
dodatkowe mechanizmy
bezpiecze
ı
stwa sieciowego - umieszczanie usług w strefie zdemilitaryzowanej DMZ
(DeMilitarized Zone), weryfikacja punktów ko
ı
cowych, monitorowanie aktywno
Ļ
ci
u
Ň
ytkowników, cz
ħ
ste wymiany kluczy kryptograficznych.
IPSec uwa
Ň
any jest za najbezpieczniejszy rodzaj sieci wirtualnej, poniewa
Ň
wykorzystuje
siln
Ģ
kryptografi
ħ
oraz rozbudowane mechanizmy uwierzytelniania. Jest to tak naprawd
ħ
kolekcja protokołów kryptograficznych i uwierzytelniaj
Ģ
cych.
Idea SSL VPN opiera si
ħ
na wykorzystaniu mechanizmów szyfrowania i autentykacji,
standardowo wbudowanych w przegl
Ģ
dark
ħ
internetow
Ģ
, tj. SSL/TLS. Zaszyfrowane dane
przesyłane s
Ģ
pomi
ħ
dzy zdalnym u
Ň
ytkownikiem a bram
Ģ
SSL. Komputery z SSL s
Ģ
uwierzytelniane za pomoc
Ģ
certyfikatów cyfrowych. W odró
Ň
nieniu od IPSec VPN
u
Ň
ytkownik otrzymuje dost
ħ
p nie do całej sieci, a tylko do wybranych jej zasobów. Znika
wyst
ħ
puj
Ģ
cy w IPSec problem instalacji oprogramowania klienckiego na zdalnej maszynie.
Brak dedykowanego klienta ogranicza jednak mo
Ň
liwo
Ļę
współpracy tylko do niektórych
aplikacji.
Tunel SSL dociera jedynie do bramy, tam zadanie klienta jest przetwarzane, autoryzowane i
tłumaczone na wła
Ļ
ciwy protokół, np. HTTP. Nast
ħ
pnie
ŇĢ
danie to jest przesyłane poprzez
nowo zestawione poł
Ģ
czenie do wła
Ļ
ciwego serwera. Odpowied
Ņ
z serwera jest odsyłana do
klienta w postaci zaszyfrowanej. Brama SSL VPN pełni
Ģ
ca rol
ħ
po
Ļ
rednika pomi
ħ
dzy
ŇĢ
daniami zdalnego klienta a serwerem aplikacji zapewnia ochron
ħ
zasobów korporacyjnych.
Jednak nie wszystkie aplikacje mog
Ģ
by
ę
udost
ħ
pniane za po
Ļ
rednictwem VPN SSL. Jedyn
Ģ
usług
Ģ
obsługiwan
Ģ
domy
Ļ
lnie jest WWW. SSL mo
Ň
e by
ę
równie
Ň
wykorzystywany w
poł
Ģ
czeniach FTP czy pocztowych. Dla zapewnienia wysokiej poufno
Ļ
ci danych brama SSL
mo
Ň
e przesyła
ę
zdalnemu u
Ň
ytkownikowi tylko zrzut ekranu aplikacji.
Mo
Ň
liwe jest wdro
Ň
enie 3-stopniowej polityki dost
ħ
pu do dokumentów:
u
Ň
ytkownik mo
Ň
e przegl
Ģ
da
ę
pliki oraz kopiowa
ę
je tylko w obr
ħ
bie sieci firmowej;
edycja i zapisywanie s
Ģ
mo
Ň
liwe wył
Ģ
cznie w wyznaczonym miejscu sieci;
dozwolone jest kopiowanie na maszyn
ħ
klienck
Ģ
, lecz jest to rejestrowane przez
system monitoringu.
SSL czy IPSec?
Jedn
Ģ
z zasadniczych ró
Ň
nic pomi
ħ
dzy sieciami zdalnego dost
ħ
pu VPN, opartymi na IP
Security i SSL, jest to,
Ň
e te pierwsze wymagaj
Ģ
instalacji i konfiguracji oprogramowania
klienckiego w systemie zdalnego u
Ň
ytkownika, podczas gdy SSL VPN korzysta jedynie z
domy
Ļ
lnej przegl
Ģ
darki WWW - ka
Ň
da przegl
Ģ
darka to gotowy klient VPN SSL. SSL oferuje
równie
Ň
elastyczno
Ļę
(dost
ħ
p z dowolnego miejsca i ró
Ň
nych urz
Ģ
dze
ı
: laptopów, PDA,
telefonów komórkowych) oraz ni
Ň
sze koszty utrzymania usługi.
Planuj
Ģ
c sie
ę
VPN, nale
Ň
y zdecydowa
ę
, kiedy korzysta
ę
z IPSec, SSL, a kiedy wybra
ę
VPN
warstwy ł
Ģ
cza danych L2TP. IPSec VPN jest obecnie standardem de facto przy tworzeniu
sieci zdalnego dost
ħ
pu. Stanowi on dobre rozwi
Ģ
zanie dla poł
Ģ
cze
ı
pomi
ħ
dzy oddziałami
(site-to-site) lub dla u
Ň
ytkowników potrzebuj
Ģ
cych pełnego dost
ħ
pu do zdalnej sieci (np.
administratorów). Jednak w przypadku mało wymagaj
Ģ
cych u
Ň
ytkowników, a tak
Ň
e w celu
zapewnienia wysokiego poziomu bezpiecze
ı
stwa bardziej zasadne wydaje si
ħ
stosowanie
SSL VPN. Wszystkie powy
Ň
sze wymagania jest w stanie pogodzi
ę
hybrydowa sie
ę
IPSec/SSL VPN. Wymóg konfiguracji i utrzymania oprogramowania klienckiego IPSec w
zdalnych lokalizacjach mo
Ň
e podnosi
ę
koszty funkcjonowania. W ofercie wielu producentów
znajduje si
ħ
sprz
ħ
towy klient IPSec VPN. Istnieje równie
Ň
ryzyko,
Ň
e niepo
ŇĢ
dany komputer
za po
Ļ
rednictwem tunelu IPSec, poprzez stworzon
Ģ
w firewallu dziur
ħ
, uzyska dost
ħ
p
bezpo
Ļ
rednio do serca firmowej sieci.
Optymalny jest scenariusz udost
ħ
pnienia wszystkim pracownikom dost
ħ
pu SSL VPN, a tylko
wyznaczonym IPSec VPN. Pojawiły si
ħ
urz
Ģ
dzenia umo
Ň
liwiaj
Ģ
ce zestawianie poł
Ģ
cze
ı
opartych zarówno na IPSec, jak i na protokole SSL.
Rysunek 2. Zabezpieczanie punków ko
ı
cowych
Bezpiecze
ı
stwo zdalnych u
Ň
ytkowników Komputery zdalnych klientów mog
Ģ
stanowi
ę
dwojakiego rodzaju zagro
Ň
enie: by
ę
zarówno celem, jak i
Ņ
ródłem ataku. Jednym z powodów
wdra
Ň
ania VPN jest oferowane bezpiecze
ı
stwo zdalnej komunikacji. Warto zainteresowa
ę
si
ħ
nie tylko ustanawianiem bezpiecznych tuneli, ale równie
Ň
ochron
Ģ
danych na zako
ı
czeniach
poł
Ģ
cze
ı
VPN. Nale
Ň
y egzekwowa
ę
od u
Ň
ytkowników przestrzeganie zasad bezpiecze
ı
stwa:
u
Ň
ywanie zapór ogniowych, systemów antywirusowych, uwierzytelniania, kontroli dost
ħ
pu
itp. Cz
ħĻę
oprogramowania VPN zawiera wbudowane gotowe mechanizmy kontroli
bezpiecze
ı
stwa zdalnych maszyn. Analizuj
Ģ
one urz
Ģ
dzenie klienckie, okre
Ļ
laj
Ģ
stopie
ı
poufno
Ļ
ci i przyznaj
Ģ
okre
Ļ
lone uprawnienia, zgodnie z predefiniowanymi strefami
bezpiecze
ı
stwa. Obecnie nie istnieje
Ň
aden powszechnie przyj
ħ
ty standard przemysłowy w
zakresie zabezpieczania punktów ko
ı
cowych.
Ze wzgl
ħ
du na to,
Ň
e poł
Ģ
czenia SSL VPN mog
Ģ
by
ę
nawi
Ģ
zywane z miejsc publicznych
(kawiarenki, kioski internetowe), wymagaj
Ģ
one szczególnej ochrony. Do metod spotykanych
w niektórych produktach nale
ŇĢ
m.in.:
uruchamianie apletów sprawdzaj
Ģ
cych otwarte porty oraz wł
Ģ
czenie oprogramowania
antywirusowego;
usuwanie na zako
ı
czenie sesji wszystkich zbuforowanych danych: stron WWW,
kluczy, cookies, plików tymczasowych, schowka systemowego;
mo
Ň
liwo
Ļę
zablokowania niektórych komend, np. kopiowania, zapisywania, zmiany
praw dost
ħ
pu.
Plik z chomika:
k.turowskii
Inne pliki z tego folderu:
VPN.ppt
(3799 KB)
VPN.pdf
(237 KB)
VPN1.pdf
(275 KB)
UML 2.0. Wprowadzenie.pdf
(830 KB)
Tworzenie stron WWW. Kurs. Wydanie II.pdf
(1083 KB)
Inne foldery tego chomika:
Active Directory
Hacking Cracking
Joomla w praktyce
King Stephen
Tolkien J R R
Zgłoś jeśli
naruszono regulamin