Embed Size (px)
Citation preview
Икономически Университет – Варна
Факултет „Магистърско обучение“
По дисциплина„Безопаснот и защита на Microsoft мрежи и приложения“
Тема „Безопасност и защита на VPN“
Изготвил:Мартина Велинова
Фак. № 11816, група 61Специалност Информатика
Р е ф е р а т
Съдържание:VPN технология 3
Какво е VPN 3
VPN – ите и техните предимства 3
Видове VPN 6
Site-to-site………………………………………………………………………………………..6
Remote Access………………………………………………………………………………….7
Компоненти на VPN 8
Характеристики на сигурния / защитения VPN 10
VPN тунелиране 11
VPN интегритет на данните 12
IPsec защитни протоколи 18
Какво е виртуална частна мрежа (VPN ) ?
Виртуална частна мрежа (VPN) е мрежа, която използва
обществена инфраструктура, като например Интернет, за да предоставя
на отдалечени офиси или индивидуални потребители, сигурен достъп
до мрежата на своята организация.
VPN работи с помощта на споделената публична инфраструктура като
същевременно запазва неприкосновеността на личната информация
чрез процедури за сигурност и тунелни протоколи.
Предимства на VPN
Интернет е световна, публично достъпна IP мрежа. Заради
голямата глобална пролиферация, тя се превърна в атрактивен начин за
свързване на отдалечени обекти. Въпреки това, самият факт, че тя е
обществена инфраструктура, създава рискове за сигурността на
предприятията и техните вътрешни мрежи. За щастие, VPN
технологията позволява на организациите да създават частни мрежи
върху/над обществената интернет инфраструктура, които да поддържат
конфиденциалност и сигурност.
Организациите използват VPN, за предоставияне на виртуална
WAN инфраструктура, която свързва офиси, домашни офиси,
партньорски бизнес сайтове, домашни или отдалечени потребители с
цялата или с част от тяхната корпоративна мрежа. За да остане частен,
трафикът е кодиран. Вместо да се използва специална Layer 2 връзка,
като например наета линия, VPN използва виртуални връзки, които ще
бъдат пренасочени чрез Интернет.
Това е по същество как работи VPN . Всеки член на вашата мрежа
може да общува по сигурен и надежден начин, използвайки Интернет
като средство за свързване с частна локална мрежа. A VPN се разраства
много по-лесно, отколкото наетата линия. В действителност,
скалируемостта е голямо предимство на VPN -а пред наетите линии. За
разлика от наети линии, където увеличението на разходите е
пропорционално на разстоянията, географското местоположения на
офиса не е от такова значение при създаването на VPN .
Организации, ползващи VPNs се възползват от по-голяма
гъвкавост и производителност. Отдалечените обекти и мобилните
служители могат да се свързват сигурно към корпоративната мрежа от
почти всяко място. Данните от VPN се криптирани. VPN-ите вкарват
отдалечените хостове отвъд защитната стена, като по този начин се
осигуряват същите нива на достъп до мрежови устройства, както ако са
физически разположени в корпоративния офис .
На фигурата в червено са показани наетите линии. Сините линии
представляват VPN връзките.
Следва да се зачетат следните предимства при използването на VPN
Икономия на разходи - Организациите могат да използват
рентабилнo, Internet за свързване на отдалечени офиси и
потребители към главния корпоративен сайт. Това елиминира
нуждата от употреба скъпи частни WAN връзки и модеми. Чрез
използването на широколентов достъп, VPN намалява разходите за
свързване, като същевременно увеличава лентата за дистанционно
свързване.
Сигурност - Advanced Encryption и удостоверителните протоколи
защитават данните от неоторизиран достъп .
Скалируемост - VPNs използват инфраструктурата на Интернет, т.е.
организациите лесно могат да добавят нови потребители, при това
без да инвестират в допълнителен ресурс за надграждане на
инфраструктурата.
Видове VPN
Toчка – до - точка
Организациите използват от точка-до-точка VPN - и за свързване
на разпръснати локации. Тъй като повечето организации имат достъп
до Интернет, има смисъл да се възползват от предимствата на сайт -
към- сайт VPN. Както е показано на фигурата, точка-до-точка VPN-ите
също поддържат вътрешно- фирмени интранети.
В действителност, от точка-до-дочка VPN е продължение на
класическата WAN мрежа. Site - към - сайт VPN-а свързва цели мрежи
помежду им . Например, може да се свърже клоновата мрежа към
мрежата на централното управление.
В един сайт - към- сайт VPN, хостовете изпращат и получават
TCP/IP трафик през VPN шлюз, който би могъл да бъде маршрутизатор,
PIX Firewall устройство /защитна стена/, или Adaptive Security Appliance
(ASA). VPN шлюзът е отговорен за капсулиране и криптиране на
изходящия трафик от даден сайт и изпращането му, чрез VPN тунел,
през мрежата на Интернет към партньорския VPN шлюз. При
получаване, отсрещният шлюз разопакова заглавката (header),
декриптира съдържанието и препредава пакета към хоста – получател,
в своята частна мрежа.
Видове VPN
Remote Access
Употребата на VPN от отдалечени служители (teleworkers) е широко
разпространена.
В миналото, корпорациите, поддържали отдалечените потребители,
използвайки комутируеми мрежи (dialup). Това е свързано с
допълнителни такси - за повикване, за разговор с отдалечена точка (на
голяма дистанция), за да получите достъп до корпорацията.
При VPN комуникацията, всеки хост има VPN клиентски софтуер.
Всеки път, когато хост опита да изпрати трафик, VPN клиентският
софтуер капсулира и криптира този трафик , преди да го предаде по
интернет на отсрещния VPN шлюз. При получаване, VPN шлюза работи
с данните по същия начин, както сайт - към- сайт VPN.
Компоненти на VPN
VPN създава частна мрежа над обществения мрежова
инфраструктура при запазване на поверителността и сигурността. VPN
използват криптографски тунелни протоколи,за да осигурят защита
срещу packet sniffing, удостоверяване на източника и интергитет на
данните (цялост, пълнота на данните).
Фигурата показва типична VPN топология.
Компоненти за установяване на VPN:
съществуваща мрежа със сървъри и работни станции
връзка с интернет
VPN шлюзове, като рутери, защитни стени, VPN концентратори и ASA
, които действат като крайни точки, за установяване, управление и
контрол на VPN връзките
подходящ софтуер за създаване и управление на VPN тунели
Ключът към VPN ефективността е в сигурността. VPN-а обезопасява
данните чрез капсулиране или чрез криптиране на данните. Повечето
VPN мрежи правят и двете.
Капсулирането се нарича също така тунелиране, защото капсулиране
предава данните, прозрачно (в чист вид), от мрежа до мрежа през
споделена инфраструктура.
Криптиране – кодира информацията в различен формат, използвайки
секретен ключ за кодиране на данни в различен формат с помощта на
секретен ключ. Дешифрирането (декриптиране) декодира
криптираните данни в оригиналния й формат.
Характеристики на сигурния VPN
VPN-ите използват напреднали техники за криптиране и тунелиране,
за да могат организациите да установят сигурни, частни връзки през
Интернет .В основата на сигурността на VPN са поверителността на
данните , целостта на данните (интегритета) и удостоверяването
(автентикацията):
Поверителност на данните - общата сигурност защитава данните от
подслушвачи. Поверителност на данните има за цел да защити
съдържанието на съобщения от прихващане от непроверените или
неоторизирани източници. VPN постига конфиденциалност,
използвайки механизмите на капсулиране и криптиране.
Цялост на данните – получателят няма контрол върху пътя на
данните затова не знае дали те не са преглеждани или
модифицирани, докато пътуват през Интернет. Винаги съществува
възможността, данните да са били променени. целостта на данните
гарантира, че няма външна намеса по пътя между източника и
дестинацията. VPN-ите обикновено използват хешове за да се
гарантира целостта на данните . Хешът е като контролна сума или
печат, който гарантира , че никой не е прочел съдържанието
Authentication - гарантира, че съобщението идва от автентичен
източник и отива в автентчна дестинация. Идентифициране на
потребителя дава сигурност, че този, с когото комуникирате,
наистина е този, за който се представя. При VPN комуникациите
могат да се използват пароли, цифрови сертификати, смарт карти и
биометрични данни, за да се установи самоличността на лицето от
другата страна на мрежата.
VPN тунелиране
Включваща подходящи възможности за поверителност на данните в
VPN гарантира, че само предвидените източници и дестинации са
способни на тълкуването оригинални съдържанието на съобщението .
Тунелирането позволява използването на публична мрежа като
Интернет, за пренасяне на потребителските данни, въпреки че
потребителите имат достъп само до частната си мрежа. В процеса на
тунелиране се капсулира целия пакет в друг пакет и изпраща нов,
комбиниран пакет по мрежа.
За да се илюстрира концепцията за тунелиране и класовете на
тунелни протоколи, ще използвам пример за изпращане на празнична
картичка, чрез традиционната поща. Картичката съдържа съобщение.
Тя е протокола пътник. Подателят я поставя в плик (капсулиране),
поставя адрес и оставя плика в пощенската кутия. Пощенската система
(протокол носител) доставя плика в пощенската кутия на получателя.
Двете крайни точки на преносната система са "тунелните интерфейси".
Получателят премахва плика (декапсулира) и прочита картичката.
Фигурата показва e-mail съобщение, пътуващо през Интернет върху
VPN. PPP носи съобщението към VPN устройството, където то се
опакова в GRE пакет (generic route encapsulation) – проток, използван в
тунелирането, разработка на Сиско. Външният източник и дестинацията
на пакета се конфигурират на тунелните интерфейси и се правят
маршрутируеми през мрежата. След като пакетът достигне
дестинацията - интерфейсът от другата страна на тунела, вътрешният
пакет се разопакова и се предава на вътрешната мрежа.
VPN Интегритет на данните
Ако информацията се транспортира в чист текст през публичния
Интернет, може да се пресрещне и прочете. За да се държи
информацията конфиденциална, трябва да бъде криптирана.
VPN криптирането криптира информацията и я прави нечетима за
неудостоверените потребители.
За да работи криптирането, и изпращача и получателя трябва да знаят
правилата, които се използват за трансформиране на оригиналното
съобщение в кодирана форма.
VPN криптиращите правила включват алгоритъм и ключ.
Алгоритъмът е математическа функция, която комбинира
съобщение, текст, цифри, или и трите с ключ.
Изходът е нечетим, криптиран низ.
Декриптирането е изключително трудно или невъзможно без
правилния ключ.
Степента на защита, осигурена от криптиращия алгоритъм зависи
от дължината на ключа. Времето, необходимоза обработване на всички
възможности за разшифроване е функция от изчислителната мощ на
компютъра. Следователно, по – кратък ключ -> по – лесно
дешифриране, но краткия ключ има и предимство и то е по-лесното
съставяне на съобщението и по – бързото му предаване през мрежата.
Някой от по - често използваните криптиращи алгоритми и дължината
на ключовите, които използват те са:
Data Encryption Standard/Цифров Криптиращ Стандарт (DES)
алгоритъм – Разработен от IBM, DES използва 56-битов ключ.
Принадлежи към симетрична ключова криптосистема.
Triple/Троен DES (3DES) алгоритъм – Вариант на DES, който криптира
с един ключ, декриптира с друг, и после криптира за последен път с
трети ключ.
Advanced Encryption Standard/Усъвършенстван Криптиращ
Стандарт (AES) - AES осигурява по-силна безопасност от DES и е
изчислително по - ефективен от 3DES. AES предлага три различни
дължини на ключа: 128, 192, и 256-бит.
Rivest, Shamir, и Adleman (RSA) – Асиметрична ключова
криптосистема. Ключовете използват 512, 768, 1024, или по-големи.
Симетрично криптиране
При симетричното ключово криптиране, също наречено secret
key encryption/ криптиране със секретен ключ, всеки компютър
криптира информацията преди да я изпрати върху мрежата към другия
компютър. Алгоритмите, които използва са DES и 3DES. Симетричното
криптиране изисква предварително да се знае кои компютри ще
комуникират помежду си, за да може да им се конфигурира един и същ
ключ.
Например, изпращачът създава кодирано съобщение, където всяка
буква се замества с буква която е два реда по надолу в азбуката;
"A“ става "C," и "B" става "D",и така нататък. При този случай, думата
SECRET става UGETGV. Изпращачът вече е казал, че секретният ключ е
“премести с 2." Когато получи съобщението UGETGV, получаващият
компютър го декодира, чрез изместването назад с две букви
получавайки SECRET.
Въпросът е, как криптиращите и декриптиращите
устройства да се разберат за ключа. Може да се използва имейл,
куриер и т.н., за да се изпрати споделения ключ на администратора на
устройствата. Но много по – лесно и сигурно е да се използва методът
на асиметричното криптиране.
Асиметрично криптиране
Public key encryption (публичното криптиране с ключ) е вариант на
асиметрично криптиране, което използва комбинация от частен и
публичен ключ.
Асиметричното криптиране използва различни ключове за криптиране
и декриптиране. Знаейки един от ключовете, не позволява на хакерите
да предположат втория ключ и да декодират информацията.
Единият ключ криптира информацията, докато втория декриптира
съобщението.
Използването на публично криптиране, с ключ за обмяна на
информация, е тристъпков процес:
Изпращачът и получателят обменят техните публични ключове
(техните частни ключове никога не излизат навън);
Изпращачът използва публичния ключ на получателя, за да криптира
съобщението и после го изпраща;
Частният ключ на получателя се използва, за да декриптира
съобщението.
•
Хешовете допринасят за интегритета на данните, а
удостоверяването осигурява, че неупълномощена личност няма да
подслуша предаваните съобщения.
Хешът, наречен още message digest/обобщено съобщение, е номер
генериран от текстови низ. Хешът е по-малък от самия текст. Генерира
се от формула по такъв начин, че е изключително невероятно друг текст
да произведе същата стойност.
На фигурата, някой се опитва да изпрати на Jeremy чек за $100. В
отдалечената страна, Alex Jones (криминално проявен) се опитва да
изтегли чек за $1,000.
По време на обработката на чека през Интернет, той се променя.
И получателят и стойността са променени.
В този случай, ако се използва алгоритъм за интегритет, хешовете
няма да съвпадат, и транзакцията няма да е валидна.
keyed hashed message authentication code / ключов хешов
удостоверителен код на съобщението (HMAC) е алгоритъм за цифров
интегритет, който гарантира целостта на съобщението. Оригиналният
изпращач генерира хеш на съобщението и го изпраща заедно със
съобщението. Получателят декриптира съобщението и хеша, генерира
друг хеш от полученото съобщение, и сравнява двата хеша. Ако са едни
и същи, получателят може да е достатъчно сигурен в целостта на
съобщението. Ако няма съвпадение, съобщението е променено.
Има два, често използвани HMAC алгоритъма:
Message Digest 5 (MD5) - Използва 128-битов споделен ключ.
Secure Hash Algorithm 1 (SHA-1) - Използва 160-битов секретен
ключ.
Устройствата, от другата страна на VPN тунела, трябва да са
удостоверени, преди комуникационния път да се определи като
сигурен. Има два партньорски метода за удостоверяване:
Pre-shared key / споделен ключ (PSK) - използва симетричен,
криптографски алгоритъм с ключ. PSK се вкарва при двата
партньора ръчно, и се използва, за да удостовери партньорите.
RSA signature/подпис - използва обмяната на цифрови подписи,
за да удостовери партньорите. Локалното устройство произвежда
хеш и го криптира с публичния ключ на отдалечената страна.
Криптираният хеш (цифровия подпис) се закача към съобщението
и се препраща на отдалечената страна. В отдалечената страна,
криптираният хеш се декриптира с частния ключ на локалната
страна. Ако декриптираният хеш съвпадне с преизчисления,
подписът е оригинален.
IPsec защитен протокол
IPsec е протоколен набор за обезопасяване на IP комуникацията с
криптиране, интегритет, и удостоверяване. Има два основни IPsec
протокола.
Authentication Header (AH) – Използва се, когато конфиденциалността
не се изисква или позволява.
AH осигурява удостоверяване и цялост на информацията.
Той осигурява, че всяко съобщение, преминаващо през R1 към R2 не
е било променено по време на предаването.
Той също осигурява произхода на данните.
AH не осигурява конфиденциалност на данните (криптиране).
Използван самостоятелно, AH pпротоколът осигурява слаба защита.
Следователно, той се използва с ESP протокола, за осигуряване
криптиране на информацията и анти-подслушващи функции.
Encapsulating Security Payload (ESP) – осигурява конфиденциалност и
удостоверяване, чрез криптиране на пакета.
ESP удостоверява вътрешния IP пакет и ESP заглавката.
Удостоверяването осигурява произхода на данните и интегритет.
Въпреки, че и криптирането и удостоверяването са по желание, в
ESP, като минимум, трябва да бъде избрано едното.
Някой от стандартните алгоритми, които използва IPsec са:
DES – Криптира и декриптира пакети.
3DES – Осигурява значителна сила на криптиране пред DES.
AES – Осигурява силно криптиране и голяма пропускливост.
MD5 – Удостоверява пакета, чрез 128-битов ключ.
SHA-1 – Удостоверява пакета, чрез 160-битов ключ.
DH – Позволява на две части да установят споделен ключ, използван
от криптирането и хеш алгоритмите, например, DES и MD5, върху
несигурен комуникационен канал.
Когато конфигурирате IPsec,
изберете IPsec протокол.
Изборите са ESP или ESP с AH.
Изберете криптиращ алгоритъм
Ако IPsec е реализиран с ESP. Изберете криптиращ
алгоритъм: DES, 3DES, or AES.
Изберете удостоверяване.
Изберете алгоритъм за осигуряване на цялост на
данните: MD5 или SHA.
Последния избор е Diffie-Hellman (DH) групата алгоритми.
Които обменят споделен ключ за криптиране между
партньорите. Изберете коя група да ползвате, DH1
или DH2.
Използвани източници:
TonyChen, CCNA Exploration 4.0, Accessing the WAN
