VPN.pdf
(
237 KB
)
Pobierz
VPN
VPN – Virtual Private Network
Uycie certyfikatów niekwalifikowanych
w sieciach VPN
wersja 1.1
UNIZETO TECHNOLOGIES SA ©
Spis treci
1.
CO TO JEST VPN I DO CZEGO SŁU
Y
.................................................................................................... 3
2.
RODZAJE SIECI VPN
.................................................................................................................................... 3
3.
ZALETY STOSOWANIA SIECI IPSEC VPN
.............................................................................................. 3
4.
METODY UWIERZYTELNIANIA
.................................................................................................................. 4
5.
CERTYFIKATY CYFROWE
.......................................................................................................................... 4
5.1.
Z
ASTOSOWANIE CERTYFIKATÓW CYFROWYCH
.......................................................................................... 5
5.2.
S
POSÓB UZYSKANIA CERTYFIKATU DLA URZDZE
VPN
.......................................................................... 5
5.3.
Z
ALETY STOSOWANIA CERTYFIKATÓW
....................................................................................................... 5
5.4.
U
RZDZENIA WSPIERAJCE CERTYFIKATY CYFROWE
............................................................................... 5
UNIZETO TECHNOLOGIES SA ©
1. Co to jest VPN i do czego słuy
Skrót VPN (z ang. Virtual Private Network) oznacza Wirtualn Sie Prywatn, zwan potocznie „sieci
VPN”. Sieci VPN pozwalaj w sposób bezpieczny łczy ze sob sieci i komputery z wykorzystaniem
niezaufanego i niebezpiecznego medium, jakim jest np. Internet, linie dzierawione czy łcza radiowe.
Transmisja pomidzy poszczególnymi sieciami i komputerami odbywa si poprzez szyfrowane
i zabezpieczone wieloma mechanizmami wirtualne „tunele”.
2. Rodzaje sieci VPN
Jest wiele rodzajów sieci VPN rónicych si sposobem realizacji transmisji, stosowanymi
mechanizmami zapewniajcymi bezpieczestwo i cechami funkcjonalnymi.
Wród nich wyróniamy:
1) oparte na protokole IPSec
a) sieci typu
site-to-site
łczce ze sob w sposób bezpieczny dwie lub wicej sieci; „tunele”
pomidzy tymi sieciami najczciej s zakoczone na dedykowanych urzdzeniach takich jak
routery z funkcj VPN, firewalle lub koncentratory VPN; nie wymagaj instalacji adnego
oprogramowania na komputerach;
b) sieci typu
remote-access
lub
client-to-site
łczce w sposób bezpieczny pojedyncze
komputery z sieciami; wymagaj instalacji na komputerach specjalnego oprogramowania typu
VPN Client
2) oparte na protokole SSL – najczciej typu remote-access, nie wymagaj instalacji specjalnego
oprogramowania na komputerze, za to maj mniejsz funkcjonalno ni sieci VPN oparte na
protokole IPSec
3) oparte na innych protokołach / technologiach, np. L2TP
3. Zalety stosowania sieci IPSec VPN
·
zapewnienie poufnoci poprzez szyfrowanie danych silnymi algorytmami kryptograficznymi,
·
zapewnienie integralnoci poprzez uniemoliwienie modyfikacji danych w trakcie transmisji,
·
uwierzytelnianie stron poprzez zapewnienie, e nikt nie podszył si pod adn ze stron,
·
zapewnienie niezaprzeczalnoci, które oznacza, e strony nie mog zaprzeczy, e nie wysłały
danej informacji, o ile informacja ta była podpisana kluczem prywatnym i podpis został
poprawnie zweryfikowany.
VPN – Virtual Private Network – Co to jest VPN i do czego słuy
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
3
4. Metody uwierzytelniania
Zanim zostanie zestawiony wirtualny „tunel” VPN, obie strony musz si wzajemnie uwierzytelni, aby
mie pewno, e urzdzenie po drugiej stronie tunelu jest tym, za kogo si podaje.
Istniej trzy metody uwierzytelniania:
·
hasło statyczne, klucze współdzielone (pre-shared key): W trakcie przygotowywania do pracy
urzdzenia klucz wpisuje si bezporednio do pliku konfiguracyjnego. Metody tej nie poleca si
z uwagi na łatwo popełnienia pomyłki w trakcie konfiguracji, moliwo podszycia si trzeciej
strony w przypadku kompromitacji klucza a take z przyczyn administracyjnych
(problematyczne jest zarzdzanie połczeniami w obrbie kilku czy kilkunastu urzdze)
·
klucze publiczne RSA: Na kadym z urzdze biorcych udział w połczeniu generowana jest
para kluczy: prywatny-publiczny. Klucze publiczne naley nastpnie wymieni ze wszystkimi
uczestnikami połczenia. W procesie tym bierze udział człowiek, który musi „rcznie” dokona
wymiany kluczy. Rozwizanie to jest praktycznie nieskalowalne, przy wikszej liczbie urzdze
konieczne jest dokonanie N*(N-1) wymiany kluczy, co jest czasochłonne. Dodatkowo w
przypadku kompromitacji jednego z urzdze naley wykasowa stare i wgra nowe klucze na
pozostałych urzdzeniach.
·
certyfikaty cyfrowe: (ze wzgldu na swoj struktur stanowi najbardziej zaufany mechanizm
uwierzytelniania, moliwe jest zautomatyzowanie procesu ich wymiany w przypadku
kompromitacji jednej ze stron. Ta metoda uwierzytelniania cechuje si równie skalowalnoci.
Przy „N” stronach biorcych udział w połczeniu konieczne jest „N” uwierzytelnie i „N”
certyfikatów)
5. Certyfikaty cyfrowe
Przez „certyfikat” rozumiemy dane podpisane cyfrowo przez tzw. „zaufan trzeci stron”. Dane,
o których mowa zawieraj zazwyczaj nastpujce informacje:
·
Klucz publiczny właciciela certyfikatu.
·
Nazw zwyczajow (np. imi i nazwisko, pseudonim, etc.)
·
Nazw organizacji.
·
Jednostk organizacyjn.
·
Zakres stosowania (podpisywanie, szyfrowanie, autoryzacji dostpu itp.)
·
Czas, w jakim certyfikat jest wany.
·
Informacje o wystawcy certyfikatów.
·
Sposób weryfikacji certyfikatu (np. adres, pod którym mona znale listy CRL).
·
Adres, pod którym znajduje si polityka certyfikacji, jak zastosowano przy wydawaniu tego
certyfikatu.
Struktura certyfikatu nie jest sztywna i w zalenoci od potrzeb mona umieszcza w niej dodatkowe
pola, wykraczajce poza definicj standardu.
VPN – Virtual Private Network – Metody uwierzytelniania
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
4
5.1. Zastosowanie certyfikatów cyfrowych
W rozwizaniach dla sieci VPN certyfikat stanowi element uwierzytelniajcy kad ze stron biorcych
udział w połczeniu. Dziki temu rozwizaniu podszycie si pod jedn ze stron biorcych udział
w połczeniu jest wysoce nieprawdopodobne.
5.2. Sposób uzyskania certyfikatu dla urzdze VPN
Ogólny zarys czynnoci, które naley wykona, by urzdzenia słuce do zestawienia połcze VPN
mogły autoryzowa si przy uyciu certyfikatów przedstawione s w kolejnych krokach:
1) Przy uyciu urzdzenia generowana jest para kluczy RSA (tj. klucz publiczny i klucz prywatny)
2) Urzdzenie generuje zbiór danych w standardzie PKCS10, który zawiera jego dane identyfikacyjne
oraz publiczny klucz RSA.
3) Klucz publiczny jest przekazywany do urzdu certyfikacji (za porednictwem stosowanego
formularza)
4) Urzd certyfikacji po zweryfikowaniu pliku PKCS10 podpisuje go swoim kluczem prywatnym RSA
(wystawia certyfikat)
5) Urzdzenie pobiera wystawiony certyfikat cyfrowy, jak równie list CRL i certyfikat urzdu z
danego urzdu certyfikacji
5.3. Zalety stosowania certyfikatów
·
uwierzytelniaj strony biorce udział w połczeniu
·
zapewniaj poufno danych
·
zapewniaj integralno danych
·
zapewniaj niezaprzeczalno danych
Niektórzy z producentów urzdze z zaimplementowan funkcjonalnoci VPN pozwalaj na
dodatkow kontrol uwierzytelnianych poprzez certyfikat stron połcze. Moliwe jest ograniczenie
zestawienia sesji jedynie dla połcze uwierzytelnionych certyfikatem pochodzcym od konkretnego
dostawcy. Ponadto mona weryfikowa (wymusi) istnienie okrelonych pól certyfikatu, zawierajcych
odpowiednie wartoci. Dziki tak rozbudowanym mechanizmom uwierzytelniania certyfikaty w
zastosowaniach VPN stanowi najsilniejsze ogniwo, na podstawie którego dopuszcza si bd odrzuca
połczenia zdalne, inicjowane przez drug stron, która chce nawiza bezpieczne połczenie z sieci
zdaln.
Istotn zalet jest te skalowalno rozwiza opartych na certyfikatach. aden inny mechanizm nie
daje takiej łatwoci w uaktualnianiu mechanizmów uwierzytelniania, jak zapewniaj certyfikaty.
Urzdzenia, które w pełni wspieraj oferowane standardy w praktyce samodzielnie pobieraj nowe
certyfikaty, jeli poprzednie zostały wycofane np. poprzez list CRL. Dziki istnieniu „zaufanej trzeciej
strony” ich podrobienie jest wysoce nieprawdopodobne. Stanowi wygodn metod zabezpieczenia
sieci dla administratorów, którzy zarzdzaj złoon infrastruktur sieci.
W przypadku połcze typu „remote-access” oprócz łatwoci zarzdzania uytkownicy s autoryzowani
przy uyciu silnych mechanizmów uwierzytelniania, przy jednoczesnym zachowaniu skalowalnoci
rozwizania.
5.4. Urzdzenia wspierajce certyfikaty cyfrowe
·
routery CISCO
·
koncentratory VPN CISCO
·
routery Juniper serii M
·
urzdzenia serii NetScreen
VPN – Virtual Private Network – Certyfikaty cyfrowe
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
5
Plik z chomika:
k.turowskii
Inne pliki z tego folderu:
VPN.ppt
(3799 KB)
VPN.pdf
(237 KB)
VPN1.pdf
(275 KB)
UML 2.0. Wprowadzenie.pdf
(830 KB)
Tworzenie stron WWW. Kurs. Wydanie II.pdf
(1083 KB)
Inne foldery tego chomika:
Active Directory
Hacking Cracking
Joomla w praktyce
King Stephen
Tolkien J R R
Zgłoś jeśli
naruszono regulamin