12

Click here to load reader

Technologie SSL VPN a jejich řešení firmou Cisco · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

  • Upload
    dohuong

  • View
    214

  • Download
    2

Embed Size (px)

Citation preview

Page 1: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 1 -

Technologie SSL VPN a jejich řešení firmou Cisco Systems15.1.2006 Bc. Daniel Krsička ([email protected])

Obsah:

1. ÚVOD DO VPN ...................................................................................................... 2

1.1 Metodiky přístupu do chráněných sítí ......................................................................... 2

1.2 Hlavní typy VPN technologií ......................................................................................... 3

2. SSL VPN ................................................................................................................ 4

2.1 Rozdíly mezi SSL a IPSec VPN..................................................................................... 4

2.2 Typy SSL VPN Technologií ........................................................................................... 42.2.1 Proxy............................................................................................................................ 52.2.2 Překlad aplikačního protokolu....................................................................................... 52.2.3 Předávání portu............................................................................................................ 62.2.4 Rozšíření sítě ............................................................................................................... 72.2.5 Hybridní řešení ............................................................................................................. 7

2.3 Bezpečnost SSL VPN .................................................................................................... 72.3.1 Autentizace pomocí certifikátů ...................................................................................... 82.3.2 Důvěryhodnost klientského stroje ................................................................................. 8

3. KONKRÉTNÍ TECHNOLOGICKÁ ŘEŠENÍ ........................................................... 8

3.1 Koncentrátory řady Cisco 3000.................................................................................... 8

3.2 Moduly pro stávající zařízení .......................................................................................10

3.3 WebVPN a Cisco Secure Desktop ...............................................................................10

4. POUŽITÉ ZDROJE INFORMACÍ ..........................................................................11

Page 2: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 2 -

1. Úvod do VPN

1.1 Metodiky přístupu do chráněných sítíVnitřní síť společnosti je nejčastěji skryta za jedním nebo více směrovači a firewally.

Často jsou tyto aktivní prvky nastaveny tak, že odmítají (REJECT) nebo ještě lépe zahazují(DROP) veškerá příchozí TCP spojení z Internetu. Rozdíl je v tom, že akce REJECT vyvoláodeslání zprávy odesílateli s nastaveným bitem RST. Akce DROP jen tiše zahodí příchozípaket a nijak na něj nereaguje. Tím je firewall chráněn proti záplavě SYN paketů, přicházejícína neotevřené porty. Pro ty otevřené je pak nutné nastavit určitý limit. Nastavení je dánobezpečnostní politikou společnosti, což je soustava dokumentů popisující a předepisujícíjednotlivé bezpečnostní zóny, pravidla firewallů, použité HW a SW technologie, právauživatelů, administrátorů, bezpečnostní audit a další věci. Přímý přístup z Internetu do vnitřnísítě (lokální zóny) tedy často vůbec neexistuje, nebo je velmi okleštěn.

Technologie VPN (Virtual Private Network) nabízí možnost řešení problémuvzdáleného přístupu do vnitřní sítě. VPN spojení je nejčastěji popisováno jako uzavřený tunelmezi dvěma body v Internetu. Tedy, mezi vzdáleným uživatelem a VPN koncentrátoremspolečnosti. VPN koncentrátor bývá umístěn v tzv. demilitarizované zóně (DMZ). Podobnějako v předchozím odstavci je DMZ jednou z bezpečnostních zón počítačové sítěspolečnosti. DMZ je oddělena od vnitřní sítě (lokální zóny) routerem nebo specializovanýmfirewallem podobně, jako je lokální zóna oddělena od zóny Internetu. Do DMZ většinou majípřístup jak uživatelé ve vnitřní síti, tak uživatelé v Internetu. Z DMZ pak může být otevřenakomunikace do vnitřní sítě.Do DMZ jsou tedy nejčastěji umisťovány veřejně přístupné servery (webové, ftp, poštovní,...). Stojí tak mimo lokální síť, která je tak lépe zabezpečena. Potenciální útočník by tedymusel nejdříve napadnout a ovládnout některý server v DMZ a teprve poté se pokusit o útokna vnitřní síť. Mezi servery instalované do DMZ patří i přístupová brána VPN spojení, tzv.VPN koncentrátor. Dalším možným řešením je instalace VPN přístupového serveru přímo dorouteru/firewallu viditelného z Internetu.

Obrázek 1:Příklad tříportového zapojení firewally s VPN koncentrátorem

Page 3: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 3 -

Hlavní výhodou implementace VPN technologie je finanční hledisko. Pokud by si totižmusela společnost najímat vyhrazené linky v Internetu, náklady by byly mnohonásobněvyšší. Navíc, v případě mobilních vzdálených uživatelů je metodika pronajímání vyhrazenýchokruhů nemyslitelná. VPN spojení (tunel) používá přímo infrastrukturu Internetu, to znamená,že data VPN spojení jsou (zjednodušeně řečeno) stejné jako jakékoli jiné pakety tekoucíInternetem.

1.2 Hlavní typy VPN technologiíDnes existuje několik typů VPN technologie. Vzájemně se od sebe liší především

vrstvou architektury, na které pracují a typem počítačové sítě:

Nejrozšířenějším je standard VPN založený na IPSec (Internet Protocol Security)(RFC 2411) [01]. Jedná se o rozšíření IP protokolu přinášející prvky zabezpečení. IPSecpracuje na síťové - třetí vrstvě ISO OSI modelu. Zabezpečuje přenášená data bez vazby nakonkrétní aplikaci. Z hlediska protokolů vyšších vrstev je zcela transparentní. To přinášíproblém při realizaci IPSec VPN spojení přes routery a firewally - ty pracují na 3. vrstvě. VPNspojení musí být explicitně povoleny. Pokud je výchozí politikou firewallu zahazovat všechnaspojení, která nepatří do seznamů povolených (DEFAULT DROP ALL), což je správné, musíbýt VPN spojení zařazeno do seznamu povolených. Především se jedná o protokol UDP acílový port 500 [06].

Technologie VPN má ale i své nevýhody. První z nich patří závislost VPN na jinýchtechnologiích než jen IP. Tato nevýhoda může být překonána novým typem VPN sítí,pracujících na vyšších vrstvách ISO OSI architektury. Navíc, protože technologie IPSec jenezávislá na aplikacích, každý výrobce software (vendor) poskytuje produkty VPN řešení,které jsou často mezi sebou zcela nekompatibilní. A je zde i potenciální riziko průniku dovnitřní sítě zneužitím VPN koncentrátoru (prozrazení hesla, chybná konfigurace, ...). Jakznámo, nejslabším článkem zabezpečení počítačové sítě je ... člověk.

Existuje ještě několik dalších forem VPN technologie pracující na různých vrstváchsíťového modelu. Tyto technologie nejsou předmětem této práce a proto je uvádím jen veformě přehledové tabulky [04].

Název Vrstva PopisFrame RelayVPN

Layer 2 homogenní prostředí Frame Relay je vyžadováno

ATM VPN Layer 2 Homogenní prostředí Asynchronous Transfer Mode je vyžadovánoL2TP a PPTPVPN

Layer 2 Vícenásobné tunelování pro jednoho uživatele. Používáno napříkladarchitekturami IPX/SPX nebo NETBeui.

IPSec VPN Layer 3 Technologie transparentní pro aplikace i síť. Je nutné požít TCP/IP (nejpoužívanější) (IETF security standard tunelování spojení)

BGP/MPLSVPN

Layer 2/3 Využití v Border Gateway Protokolu. Tunely přes jednotlivé páteřní sítěMPLS pro přenos směrovacích informací hraničních routerů.

SSL VPN Layer 4 avyšší

Transparentní pro použitou síťovou technologii. Používá technologiiSSL/TLS.

SOCKS VPN Layer 4 avyšší

Transparentní pro použitou síťovou technologii. Zástupné rozhraní proautentizaci, šifrování a tunelování na vyšších vrstvách. Často v kombinacis IPSec VPN.

Nejnovějším typem je VPN technologie založená na kombinaci symetrické aasymetrické kryptografie, nejčastěji nazývaná VPN SSL (Virtual Private Network SecureSocket Layer). Tento typ technologie je ve středu zájmu této práce a bude podrobněrozebrán dále.

Page 4: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 4 -

2. SSL VPNTermínem SSL VPN je označována řada často vzájemně nekompatibilních

technologií. Nicméně, všechny jsou postaveny na stejné základní myšlence. Je jí využitíasymetrické kryptografie a knihoven SSL (Secure Socket Layer) pro zašifrovanoukomunikaci pomocí socketů. Technologie protokolů rodiny SSL/TLS (Transport LayerSecurity) je dnes hojně využívána (a proto o propracována) při šifrovaném přístupuk webovému serveru schématem HTTPS.

2.1 Rozdíly mezi SSL a IPSec VPNJak bylo řečeno, SSL pracuje s daty v TCP segmentech asociovaných s určitými

porty. Z hlediska přenosu dat na síťové vrstvě je použití SSL zcela transparentní. PomocíSSL je tedy možné zabezpečit obsah dat, nicméně další informace zapouzdřujícíhoprotokolu síťové vrstvy (IP) už nijak dodatečně zabezpečeny nejsou [07].

To je v kontrastu s rozšířenou technologií IPSec, která poskytuje i výhodyzabezpečení přenosu sítí (Internetem) a spolehlivost doručení. IPSec poskytujemechanismus zabezpečení založený na 3. vrstvě. [07]. Velmi často je jsou používány obětechnologie ve vzájemné kombinaci pro dosažené maximální míry zabezpečení. Přesuvedené vlastnosti jsou SSL VPN technologie na postupu a jsou nasazovány v čím dál většímíře [08].

2.2 Typy SSL VPN TechnologiíMnoho produktů označovaných jako SSL VPN de facto nesplňuje definici virtuální

privátní sítě. VPN technologie by správně měla poskytovat šifrované tunelové spojení mezidvěma body sítě (počítači, sítěmi nebo počítačem a sítí). Nicméně SSL VPN technologieposkytují nejčastěji pouze SSL bránu (gateway), což úplně neodpovídá definici VPN.

„Klasická“ VPN používající technologii IPSec přiděluje vzdálenému uživateli přístupovápráva na základě ověření jeho autentizačních informací, tedy hesla, případně certifikátu.Pokud je uživatel autorizován k přístupu do vnitřní sítě, může fyzicky přistupovat ke všemzařízením ve vnitřní síti. Přístup k jednotlivým serverům a jejich aplikacím se musí řešit až nastraně cílového stroje (serveru). VPN koncentrátor je z tohoto pohledu transparentní.

Na druhou stranu dnešní rozsáhlá integrační řešení potřebují centralizovat správupřístupových práv pro jednotlivé uživatele a v nejlepším případě je přidělovat pro jednotlivéaplikace, nikoli celé servery, což na 3. vrstvě ISO/OSI není principielně možné. K tomu sepřesně hodí SSL gateway (SSL VPN), pracující na vyšších vrstvách a má tedy možnostpřidělovat přístupová práva na úrovni aplikace a navíc má možnost přistupovat k datovémuobsahu.

Navíc, k využití SSL VPN není třeba žádný specializovaný software na straně klienta,protože se vzdálenou SSL bránou je možné komunikovat HTTPS schématem a tedy přesstandardní web browser. Tím klesají výdaje nejen na software, ale i na vyškolení personálu.Existují v zásadě 4 základní druhy SSL VPN [08]:

Page 5: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 5 -

2.2.1 Proxy

Architektonicky nejjednodušší řešení. Zapojení lze realizovat podobným způsobemjako u IPSec (obr.1), tedy pomocí DMZ, přímo na routeru/firewally, případně forwardemportu. SSL gateway musí být dostupná z vnější sítě (reverzní proxy server).

Obrázek 2: SSL Proxy virtualizuje protistranu klientu a serveru a provádíšifrování/dešifrování obsahu vyměňovaných dat

SSL brána se nazývá Application Level Gateway (ALG) a emuluje obě protistrany jakklientovi tak i serveru. Z hlediska aplikační vrstvy je tedy brána transparentní (je „viditelná“pouze na 3. vrstvě). Provádí pro daný protokol dešifrování příchozím požadavků a šifrováníodpovědí servu předtím, než je odešle zpět klientovi. SSL relace existuje tedy mezi SSLgateway a vzdáleným počítačem. Do komunikace je vloženo určité zpoždění způsobenépoužitým symetrickým šifrovacím algoritmem (lze ho ovlivnit vhodnou volbou délky klíče).Na druhou stranu, brána má možnost inspekce vyměňovaných dat. Nevýhodou tohoto typuřešení je jeho špatná škálovatelnost. Pro každý nově používaný typ aplikačního protokolu jepotřeba speciální proxy (ALG), obsluhující tento typ protokolu.

Klient SSL VPN typu proxy je tím nejjednodušším možným. Stačí standardní webovýbrowser. Je schopen obsluhovat všechny standardně vytvořené webové aplikacepomocí schématu HTTPS (tzv. Clientless Technology). Klient nepoužívá žádný dalšísoftware.

2.2.2 Překlad aplikačního protokolu

Existují aplikační protokoly, které je možné adaptovat na protokol http (Hyper TextTransfer Protocol). Znamená to, že ALG provádí konverzi aplikačních protokolů. Napříkladvzdálený počítač komunikuje s ALG pomocí HTTPS, ale ta provádí konverzi aplikačníchprotokolů a s vnitřním serverem komunikuje pomocí protokolu FTP (File Transfer Protocol).

Výhodou je možnost emulace UDP komunikace přesto, že klient komunikuje s bránoupomocí TCP. Nevýhody takového řešení jsou tři. Za prvé, pro každý protokol je třebaspeciální ALG, provádějící tu kterou správnou konverzi. Za druhé, ne všechny aplikačníprotokoly lze zcela úspěšně konvertovat do protokolu http. A konečně adaptace novéhoprotokolu vyžaduje poměrně rozsáhlou analýzu komunikačního schématu a přináší dalšínáklady, nemluvě o nekoncepčnosti takového řešení z hlediska integrace.

Klient této služby je také webový browser. Překlad aplikačního protokolu je zcelazáležitostí brány a z pohledu klienta je „neviditelný“. Výhodou je možnost komunikacei s jinými druhy serverů, než jsou webové (např. FTP – viz Obr.4) (tzv. ClientlessTechnology)

Page 6: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 6 -

Obrázek 3: Překlad aplikačního protokolu je v podstatě SSL Proxy obohacená o dalšífunkcionalitu

2.2.3 Předávání portu

Předávání portu (Port Forwarding) je technika dobře známá z firewallů. V případě SSLVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kterábude ve vzdáleném stroji vystupovat jako VPN SSL Proxy. Klientská aplikace (browser) budekomunikovat přímo s touto komponentů, jako by se jednalo o lokánlí proxy server. Lokálníproxy server (komponenta) provádí Port Forwarding. Tedy změní cílovou adresu IP paketu(případně cílový TCP port) v závislosti na cílovém TCP portu v paketu zaslaném vzdálenýmklientem. SSL relace je tedy navázána přímo mezi komponentou vzdáleného klienta acílovou SSL gateway (viz Obr.4).

Obrázek 4: Technika předávání portu. SSL gateway žádným způsobem nemanipuluje sobsahem zasílaných dat

Zřejmou nevýhodou je nutnost správy systému mapování portů na cílové adresy aporty serverů a jejich aplikací. Problémem také může být to, že celá řada služeb nepoužíváfixní port, ale rozsah portů. Noční můrou pak může být použití FTP mezi vzdáleným klientems proxy komponentou a SSL gateway (Obr.4). FTP Controll relaci lze sice navázat, alenebude možné přes ni přenášet data. FTP Server nemůže otevřít FTP Data relaci, protoževzdálený klient je skryt na firewallem své sítě. Přes SSL VPN tunel to také nejde, protoženeexistuje forward portu směrem ke klientovi.

Obrázek 5: FTP relaci přes SSL VPN tunel používajícím Port Forwarding sice lze navázat,ale nelze přes ni přenášet data

Page 7: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 7 -

Pasivní FTP režim také selže, protože server sice může sdělit klientovi port, nakterém si má otevřít spojení FTP Data, ale takový port je náhodně volen z rozsahu 1024-65535. Na straně SSL gateway FTP serveru, ale neexistuje žádné pravidlo pro forwardtohoto rozsahu portů. Datové spojení se tedy nepodaří otevřít.

Klient SSL VPN používající Port Forwarding může být webový browser, každopádněale musí mít nainstalovanou komponentu (například Java nebo ActiveX), která zajistí lokálníproxy server (tzv. Thin Client Technology)

2.2.4 Rozšíření sítě

Všechny předchozí technologie pracují bezchybně a bez omezení snad jens webovými aplikacemi, případně s webovými službami (Web Services), což je z pohledusítě prakticky stejné. Důležitým aspektem je komunikace protokolem HTTP, resp.nadstavbami nad ním (SOAP) s použitím SSL. Jiné druhy aplikací a spojení mohou býtproblematické.

Poslední druh SSL VPN je prakticky jediným typem SSL VPN, který pracuje podobnějako IPSec VPN. Nezávisle na aplikaci, či službě vytváří tunel mezi koncovými body(vzdáleným klientem a VPN SSL koncentrátorem). Bohužel, takovýto typ SSL VPN nutněpotřebuje specializovaný software na straně vzdáleného klienta [10]. Prakticky funguje nastejných principech jako IPSec VPN, jen s tím rozdílem, že používá šifrování na aplikačnívrstvě pomocí protokolů rodiny SSL (Secure Socket Layer).

Nicméně, specializovaný klient na vzdáleném počítači převezme celé síťové spojení aveškerá data, která chtějí aplikace, či systém vysílat do sítě, šifruje pomocí SSL a posílá jevytvořenou TCP/SSL relací (resp. TLS) na IP adresu SSL koncentrátoru vzdálené sítě. Tamjsou data rozšifrována a odeslána odpovídajícímu příjemci. SSL šifrování tunelu je tedy proaplikace, či uživatele naprosto transparentní.

Klient SSL VPN typu Rozšíření sítě je nezávislá aplikace na straně vzdálenéhopočítače, která vytváří SSL relaci ke vzdálené SSL gateway a plně převezme síťovépřipojení. Veškerá komunikace se pak děje pouze přes vytvořený SSL tunel, ať už sejedná o jakoukoli aplikaci (tzv. Thick Client Technology).

Populární (marketingové) tvrzení, že SSL VPN nepotřebujespecializovaný software na straně klienta, není pravdivé!!! Provytvoření plnohodnotného VPN řešení pomocí SSL je to nezbytněnutné!!!

2.2.5 Hybridní řešení

Firma Cisco poskytuje SSL VPN řešení, které pracuje na úrovni SSL v případěwebových aplikací (Proxy) a pro rozšíření sítě a přístup k ostatním částem používátechnologii IPSec. Zřejmě se ale jedná o mezistav, před nástupem plně kvalifikovaných SSLVPN řešení tak jak byly popsány v kapitole Chyba! Nenalezen zdroj odkazů..

2.3 Bezpečnost SSL VPNSprávné použití technologie SSL prakticky vylučuje napadení relace 3. stranou. Existují

ale i případy, kdy je možné SSL relaci napadnout. Například, pokud by server (ALG),generoval symetrický šifrovací klíč neustále pro stejný vstup, je možné ji „náhodně“generovaný vstup odposlechnout a poté jej použít k podvržené autentizaci (Second Order

Page 8: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 8 -

Attack). To je spíš ale otázka používání ověřeného software, protože osvědčenéimplementace SSL (Open SSL, ...) se takto nechovají.

Kapitola sama pro sebe jsou neplatné digitální certifikáty.

2.3.1 Autentizace pomocí certifikátů

Běžná relace protokolem SSL, třeba u webové aplikace (HTTPS) vyžaduje většinoupouze autentizaci serveru jeho digitálním certifikátem. Server ho zašle klientovi a ten hoověří [09]. Důležité ale je, aby v případě přístupu vzdáleného klienta přes SSL VPNkoncentrátor striktně vyžadovat autentizaci klienta (platným) certifikátem. Z hlediskabezpečnostní politiky organizace je to důležitější než autentizace serveru. Pokud by serverklientův certifikát nevyžadoval, mohl by se na VPN koncentrátor připojit prakticky každý.Získal by buď okamžitý přístup do vnitřní sítě, nebo by mohl provádět třeba slovníkový útok(Dictionary Attack), pokud by byla požadována ještě autentizaci heslem.

Nejlepší formou je kombinace autentizace certifikátem s hesle a autentizací třebačipovou kartou SmartCard. V případě logování stisknutých kláves stále existuje dalšímechanismus, který by musel útočník překonat. A pokud by měl být úspěšný, musí prolomitautentizaci pomocí SmatCard „velice ryche“, než si uživatel změní heslo nebo neobdrží novýcertifikát [10].

2.3.2 Důvěryhodnost klientského stroje

Potenciální nebezpečí spočívá i možnosti napadení samotných vzdálených počítačů,které se připojují do vnitřní sítě. Riziko napadení externího stroje trojským koněm, virem,červem případně jinou ohavností je, ve srovnání s počítači fyzicky umístěnými ve vnitřní sítimnohem vyšší. Pokud je externí stroj napaden například trojským koněm s logováním kláves(KeyStroke Logger) a následně se uživatel připojuje pomocí SSL VPN. Hrozí vyzrazenídůvěrných dat. Útočník pak může získat legální přístup do chráněné sítě stejně, jakoautorizovaný uživatel.

3. Konkrétní technologická řešení

3.1 Koncentrátory řady Cisco 3000Cisco nabízí specializované zařízení k zakončování VPN tunelů, tzv. koncentrátory.

Nejenže poskytují funkci VPN brány, ale mohou obsahovat i vlastnosti běžných přepínačů asměrovačů. Uvádím jejich krátký přehled s výčtem těch nejdůležitějších vlastností a krátkýpopis. Zařízení jsou řazena podle jejich určení od SOHO (Small Office, Home Office) až ponejvýkonnější stroje pro velké firmy (Enterprise Devices) [10].

3.1.1 VPN 3002 (Klient)

Základem modelové řady je Cisco VPN 3002, který slouží jako hardwarový klientVPN sítě, připojitelný, k libovolnému Cisco koncentrátoru řady 3000, nebo Cisco routeru.Podle dokumentace, ale nepodporuje SSL VPN, pouze IPSec VPN [13].

Page 9: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 9 -

Obrázek 6: Cisco VPN 3002 Hardware Client3.1.2 VPN 3005

Typ 3005 je koncentrátor určený pro menší firmy. Podporuje maximálně 200 IPSecVPN nebo maximálně 50 SSL VPN relací (clientless) zároveň. Výkon zařízení je dostiomezen, protože šifrování a dešifrování u obou typů VPN technologií se provádí softwarově.Obsahuje procesor Motorola PPC a dvě ethernetová rozhraní 10/100BASE-T (AutoNegotiating). Konzolový port je realizován konektorem DB-9 (klasické COM rozhraní).Problémem může být nemožnost upgrade firmware [14].

Obrázek 7: VPN 3005 VPN Concentrator

3.1.3 VPN 3015

Opět koncentrátor pro malé a střední firmy, tzn. linky do kapacity T1/E1 (4 Mbps)[15]. Podporuje jen 100 současných IPSec spojení nebo 75 clientless VPN SSL relací. Opětprovádí šifrování a dešifrování softwarově (procesor Motorola PPC). Obsahuje 3 ethernetovározraní 10/100BASE-T (Auto Neg.).

Podstatnou výhodou tohoto modelu je jeho rozšiřitelnost (viz Obr.8). Může býtobohacen o další hardwarové module na typ Cisco VPN 3030 nebo 3060. Především omoduly SEP (Scalable Encryption Processing), které provádí hardwarové šifrování adešifrování a zvyšují tak celkovou propustnost systému (zátěž je rozdělena podobně jako nafarmě). Dále může být rozšířen o redundantní napájecí zdroj.

Obrázek 8: Cisco VPN 3015 Concentrator

3.1.4 VPN 3020

Model pro střední a větší organizace s potřebou širšího pásma. VPN 3020 pracuje ažs pásmem T3/E3 (max. 50 Mbps). Poskytuje podporu až pro 750 IPSec klientů nebo 200SSL clientless klientů současně. Kryptografické algoritmy jsou zrychleny speciálnímhardwarovým modulem SEP (Scalable Encryption Processing). Stroj je možno rozšířit o dalšíSEP modul a záložní napájecí zdroj [16].

Page 10: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 10 -

3.1.5 VPN 3030

Má téměř stejné vlastnosti jako předchozí model. Také obsahuje 3 ethernetové10/100BASE-T rozhraní. Liší se především v možnostech své rozšiřitelnosti. Do modelu VPN3030 je možné doplnit další 3 SEP moduly a celkově tak zvýšit jeho datovou propustnost přizvýšené zátěži (mnoho připojených klientů). Opět je možné doplnit i o záložní napájecí zdroj.

3.1.6 VPN 3060, VPN 3080

Poslední dva modely jsou určeny pro nasazení v těch největších společnostech.Podporují současné připojení až 5000 resp. 10000 IPSec klientů. Počet SSL VPN spojenímůže dosáhnout až 500 (clientless). Oba modely samozřejmě obsahují hardwarovéšifrovací/dešifrovací moduly SEP a oba mají dva sloty pro doplnění dalších. Obsahují 3ethernetová rozhraní. Model 3080 obsahuje dva napájecí zdroje jako standard.

Jednotlivé modely lze porovnat na [19].

3.2 Moduly pro stávající zařízeníJedním z hardwarových modulů je Cisco WebVPN Services Module [12]. Je určený

pro přepínače řady Catalyst 6500 a směrovače z rodiny Cisco 7600. Technické parametry hopředurčují pro nasazení ve velkých firmách. Teoreticky je možno k němu připojit 8000uživatelů a měl by zvládat 32 000 SSL VPN spojení. Může být kombinován s IPSec VPNmodulem určeným pro stejné typy zařízení. Ovládání je založeno na klasickém Cisco IOS.

Obrázek 9: Cisco WebVPN Module

Jak je patrné z obrázku, modul nemá žádná externí rozhraní (jen konzolový port).Nemůže být tedy používán samostatně. Podporuje tři pracovní módy. Clientless, kterýpracuje jen s prohlížečem, Thin Client s forvardem portu na lokální proxy na straně klienta aFull Tunnelled, ve kterém si uživatel stahuje klienta do prohlížeče (viz Chyba! Nenalezenzdroj odkazů.).

3.3 WebVPN a Cisco Secure DesktopPro SSL VPN řešení s tenkými klienty nabízí Cisco speciální verzi klienta nazvanou

WebVPN modul. Vzdálený uživatel si stáhne klienta do svého stroje při prvním pokusukontaktovat SSL VPN gateway přes webový prohlížeč. Teprve po jeho nainstalování (zaběhu aplikace) se může uživatel spojit s koncentrátorem a přistoupit do vnitřní sítě.

Page 11: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 11 -

WebVPN modul obsahuje funkci Cisco Secure Desktop, díky níž je pro připojujícíhose uživatele vytvořen lokální chráněný kontext a veškeré údaje o komunikaci s SSL VPNkoncentrátorem se ukládají pouze do tohoto kontextu (šifrovaně). Dočasné soubory,identifikátory Cookie a podobná data jsou po dokončení práce z lokálního počítače modulemWebVPN odstraněna [11].

4. Použité zdroje informací

Použité zdroje informací naleznete v adresáři zdroje tohoto projektu.

[01] http://www.faqs.org/rfcs/rfc2411.htmlRequest For Comments o technologii IPSec

[02] http://www.aventail.comVýrobce síťových zařízení používajících technologii VPN SSL

[03] http://openvpn.netIPSec Open Source řešení technologie VPN pro každého zdarma

[04] http://www.networkdictionary.com/networking/vpn.phpPopis jednotlivých forem VPN

[05/1] http://netsecurity.about.com/cs/generalsecurity/a/aa111703.htmDvoudílný článek porovnávající VPN technologie IPSec a SSL

[05/2] http://netsecurity.about.com/cs/generalsecurity/a/aa111703_2.htmDvoudílný článek porovnávající VPN technologie IPSec a SSL

[06] http://www.shorewall.netOpen Source Firewall založený na iptables, dovolující práci s IPSec

[07] http://linux.box.sk/newsread.php?newsid=630Linux Based Virtual Private Network

[08] Five Networking Security Technologies That You Need to KnowPrezentace o bezpečnosti sítí od Gartner Group

[09] http://www.cs.vsb.cz/szturc/inett/inett.pdfZákladní informace o SSL, digitálních certifikátech, …

[10] SEC_5_Virtualni_privatni_site_pro_vzdaleny_pristup_a_propojovani_sitiMaterial z Cisco EXPO

[11] http://www.cisco.cz/index.sub.php?pid=site&typ=vpn2Informace o tenkých klientech SSL VPN a jejich funkcích

[12] http://www.cisco.com/en/US/products/ps6404/index.htmlCisco WebVPN SSL hardware module

[13] www.cisco.com/en/US/products/hw/vpndevc/ps2286Cisco 3002 hardware VPN client

Page 12: Technologie SSL VPN a jejich řešení firmou Cisco  · PDF fileVPN funguje naprosto stejně. Vzdálený klient získá z ALG komponentu (Java-ActiveX), kter

Technologie SSL VPN jejich řešení firmou Cisco Systems a Bc. Daniel Krsička © 2006

- 12 -

[14] http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/ps2290Cisco 3005 VPN Concentrator

[15] http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/ps2291Cisco 3015 VPN Concentrator

[16] http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/ps5480Cisco 3020 VPN Concentrator

[17] http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/ps2292Cisco 3030 VPN Concentrator

[18] http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/ps2294Cisco 3060/3080 VPN Concentrator

[19]http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/prod_models_comparison.html

Porovnání jednotlivých modelů řady Cisco 3000

Použité zdroje informací naleznete v adresáři zdroje tohoto projektu.

5. Seznam obrázků

OBRÁZEK 1:PŘÍKLAD TŘÍPORTOVÉHO ZAPOJENÍ FIREWALLY S VPN KONCENTRÁTOREM ................................. 2

OBRÁZEK 2: SSL PROXY VIRTUALIZUJE PROTISTRANU KLIENTU A SERVERU A PROVÁDÍ ŠIFROVÁNÍ/DEŠIFROVÁNÍ

OBSAHU VYMĚŇOVANÝCH DAT............................................................................................................. 5

OBRÁZEK 3: PŘEKLAD APLIKAČNÍHO PROTOKOLU JE V PODSTATĚ SSL PROXY OBOHACENÁ O DALŠÍ

FUNKCIONALITU.................................................................................................................................. 6

OBRÁZEK 4: TECHNIKA PŘEDÁVÁNÍ PORTU. SSL GATEWAY ŽÁDNÝM ZPŮSOBEM NEMANIPULUJE S OBSAHEM

ZASÍLANÝCH DAT ................................................................................................................................ 6

OBRÁZEK 5: FTP RELACI PŘES SSL VPN TUNEL POUŽÍVAJÍCÍM PORT FORWARDING SICE LZE NAVÁZAT, ALE

NELZE PŘES NI PŘENÁŠET DATA .......................................................................................................... 6

OBRÁZEK 7: CISCO VPN 3002 HARDWARE CLIENT ..................................................................................... 9

OBRÁZEK 8: VPN 3005 VPN CONCENTRATOR ........................................................................................... 9

OBRÁZEK 9: CISCO VPN 3015 CONCENTRATOR ......................................................................................... 9

OBRÁZEK 10: CISCO WEBVPN MODULE................................................................................................... 10