Katarzyna SOBOLEWSKA, Dariusz LASKOWSKI Badanie

Katarzyna SOBOLEWSKA, Dariusz LASKOWSKI Badanie

Katarzyna SOBOLEWSKA, Dariusz LASKOWSKI
Wydział Elektroniki, Wojskowa Akademia Techniczna,
E–mail: [email protected], [email protected]
Badanie wybranych atrybutów bezpieczeństwa
i jakości w sieciach IPv4/6
Streszczenie: W artykule przedstawiono opracowanie koncepcji sieci wielooddziałowej w środowisku sieci wielodomenowej, zapewniającej
bezpieczeństwo przesyłania danych biorąc pod uwagę zapewnienie poufności, uwierzytelnienia oraz integralności danych. Zasadniczymi komponentami koncepcji jest opracowanie wydajnej, skutecznej i niezawodnej
sieci VPN oraz implementacja wybranych jej elementów na platformie
programowo-sprzętowej. Kolejnym aspektem jest właściwy dobór typu
implementacji IPSec/SSL zależny od środowiska sieciowego oraz wnikliwa i krytyczna analiza bezpieczeństwa opracowanej sieci. W artykule zostały również omówione problemy pojawiające się podczas konfiguracji
rozwiązań VPN.
1. Mechanizmy bezpieczeństwa sieciowego
Liczność przemian społeczno-gospodarczych obecnie występujących w krajach wysoko
rozwiniętych jest stymulatorem budowania informacyjnego społeczeństwa XXI wieku.
Rozwój nowoczesnych technologii i postęp cywilizacyjny spowodował, iż społeczeństwu
przedstawiane są kolejne wynalazki, których głównym celem jest ułatwianie życia.
Ewolucja ta jest spowodowana mnogością technik informatycznych mających szerokie
zastosowanie w relacjach międzyludzkich dla przyśpieszenia wzajemnej komunikacji.
Niezaprzeczalny prym wśród tych nowinek nauki i techniki wiedzie Internet (rozległa sieć
teleinformatyczna) z technologią każdy-z-każdym (ang. peer-to-peer, p2p).
Leżący u podstaw działania Internetu protokół IP nie zapewnia sam w sobie bezpiecznego transportu danych przez sieć. W protokołach warstwy transportowej TCP/UDP
również nie zaimplementowano żadnego algorytmu szyfrowania, uwierzytelnienia
i sprawdzenia integralności danych. Protokół IP wersja 4 nie zawiera w sobie żadnych
usług ochrony informacji. Ataki typu odmowa usługi, podsłuch (przechwycenie) danych, modyfikacja danych, podszycie się są powszechne. Następna wersja protokołu
IPv6 (IP wersja szósta) zawiera wsparcie dla usług ochrony informacji. Utrzymanie
bezpieczeństwa rozległej infrastruktury sieciowej odbywa się najczęściej za pomocą
sieci VPN (ang. virtual private network).
Koncepcja funkcjonowania sieci VPN polega na tworzeniu wydzielonych logicznych
kanałów transmisji danych w ramach sieci rozległej tak, aby dane przesyłane tymi kana91
łami zostały zabezpieczone w zakresie poufności, integralności i autentyczności [1].
Zabezpieczenie danych w sieci VPN realizowane jest za pomocą technik kryptograficznych. Wyróżnia się dwa podstawowe rodzaje VPN:
•
•
Site-Site – wirtualna sieć prywatna pomiędzy odległymi sieciami LAN (ang. Local
Area Network), kanały VPN otwierane są przez brzegowe urządzenia VPN;
Client-Site – wirtualna sieć prywatna pomiędzy odległą stacją PC i siecią LAN, kanały VPN otwierane są przez program klienta VPN na stacji PC i brzegowe urządzenie
określane, jako koncentrator VPN.
Istnieje wiele protokołów bezpieczeństwa sieci VPN. Najczęściej stosowanymi są IPSec
oraz SSL. Jedną z zasadniczych różnic pomiędzy sieciami zdalnego dostępu VPN jest fakt,
iż IPSec wymaga instalacji i konfiguracji oprogramowania klienckiego w systemie zdalnego
użytkownika, podczas gdy SSL korzysta jedynie z domyślnej przeglądarki WWW.
IPSec (ang. IP Security) jest w zbiorem protokołów i metodą podwyższania bezpieczeństwa w sieciach TCP/IP. Może on przeprowadzać autoryzację nadawcy, sprawdzać integralność danych, zapewniać poufność transmisji i sterować dostępem w sieciach IP.
Sieci VPN tworzone z wykorzystaniem protokołu IPSec uważane są za najbezpieczniejszy rodzaj sieci wirtualnej, ponieważ wykorzystuje silną kryptografię oraz rozbudowane
mechanizmy uwierzytelniania. IPSec posiada wiele zastosowań, dlatego też istnieją dwa
tryby pracy tego protokołu: transportowy (ang. transport mode) i tunelowy (ang. tunneling mode) oraz dwa niezależne podprotokoły (AH i ESP).
Rys. 1. Tryby pracy IPSec’a na przykładzie protokołu ESP
W tunelowym trybie pracy szyfruje się nagłówek i dane każdego z pakietów, w transportowym – tylko dane. W trybie transportowym nagłówki związane z IPSec (AH /ESP)
są dodawane po nagłówku IP, a więc nagłówek IP nie jest ukrywany. Z tego powodu
można go stosować tylko do transmisji w sieciach LAN. W sieciach WAN występują
92
problemy z fragmentacją i routingiem tak przygotowanych pakietów. Tryb transportowy
stosuje się do komunikacji między komputerami, oraz komunikacji komputerów z bramami IPSec, natomiast tryb tunelowy stosuje się głównie do komunikacji brama-brama.
Na poniższym rysunku zostały przedstawione ramki poszczególnych trybów pracy dla
protokołu ESP.
Specyfikacja protokołu IPSec zapewnia mechanizm pozwalający zaimplementować
autentyczność danych poprzez użycie protokołu AH (ang. Authentication Header).
Protokół ten, jak sama nazwa wskazuje, zapewnia usługi związane z uwierzytelnieniem
pakietu i integralnością przesyłanych danych. Zapewnienie atrybutu bezpieczeństwa
w postaci poufności przesyłanych danych osiąga się przez protokół ESP (ang. Encapsulation Security Payload).
IPSec wykorzystuje szyfrowanie do ochrony informacji przed przechwyceniem lub
ingerencją. Aby efektywnie wykorzystać ten mechanizm, oba końce połączenia powinny współdzielić klucz, które jest wykorzystywany zarówno do szyfrowania oraz deszyfrowania informacji. Proces negocjacji parametrów bezpieczeństwa w IPSec przebiega
dwufazowo:
•
•
Faza 1 – przeprowadzana jest negocjacja parametrów bezpieczeństwa, wymagana do
ustanowienia bezpiecznego kanału pomiędzy dwoma końcami IPSec. Faza 1 jest
przeważnie implementowana przez protokół IKE (ang. Internet Key Exchange). Jeżeli zdalny koniec IPSec nie będzie potrafił wykorzystać IKE, możemy użyć ręcznej
konfiguracji z współdzielonymi kluczami (ang. pre-shared keys).
Faza 2 – wykorzystywany jest bezpieczny tunel ustanowiony w Fazie 1, w celu wymiany parametrów bezpieczeństwa wymaganych do transmisji danych przez użytkownika.
Późniejsza praca protokołów IPSec bazuje na asocjacji bezpieczeństwa SA (ang. Security Associations), wykorzystywanej przez każdy punkt końcowy. SA opisuje parametry
bezpieczeństwa, takie jak typ uwierzytelniania i szyfrowania, ustalone ze stronami podczas negocjacji połączenia. Znajomość przedstawionych mechanizmów będzie konieczna do sprawnego konfigurowania IPSec na różnym sprzęcie sieciowym [2].
Aplikacje użytkownika
Klient
poczty
Klient bazy
danych
SQL
SMTP
POP3
Aplikacje
internetowe
Serwery w sieci wewnętrznej
...
SMTP
POP3
HTTP
Inne
Komunikacja
szynowa SSL
SQL
Aplikacja tunelująca
ruch w SSL
HTTP
Przeglądarka Web
Inne protokoły
Brama SSL VPN
Zdalni użytkownicy
System informatyczny firmy
Rys. 2. Zasada funkcjonowania zdalnego dostępu SSL VPN
Natomiast protokół SSL umożliwia użytkownikom i serwerom szyfrowanie i ochronę
danych przesyłanych w sieci WWW i w Internecie. Serwer i przeglądarka, które przesy93
łają między sobą informacje, muszą współpracować z protokołem SSL. Obecnie jest on
wbudowywany we wszystkich popularnych przeglądarkach. Poniższy rysunek przedstawia zasadę funkcjonowania zdalnego dostępu VPN.
2. Koncepcja architektury sieciowej
Projektując zabezpieczenia VPN należy zwrócić uwagę na następujące wymagania:
•
•
•
•
wiarygodne uwierzytelnienie tożsamości oraz sprawne zarządzanie bazą użytkowników;
zastosowanie odpowiedniej technologii zabezpieczeń oraz ustalenie zasad ich konfiguracji w zależności od architektury sieciowej oraz potrzeby zapewnienia odpowiedniego poziomu bezpieczeństwa;
zapewnienie wymaganego pasma dla aplikacji strategicznych;
sprawne zarządzanie mogące sprostać wymaganiom częstych zmian konfiguracji.
Funkcjonowanie utworzonej koncepcji sieci obejmuje powyższe aspekty dotyczące
zabezpieczeń oraz poprawnej konfiguracji infrastruktury sieciowej.
Utworzony projekt bezpiecznej sieci TCP/IP z dostępem do Internetu, oparty jest na kablowym i bezprzewodowym medium transportowym. Sieć dedykowana jest jedną z firm korporacyjnych, posiadająca zdolność przenoszenia ruchu pomiędzy oddziałami firmy oraz
zapewniająca możliwie największą integrację usług. Pracownicy są przypisani do grup roboczych z adekwatnymi przywilejami i uprawnieniami. Tunele IPsec zestawione pomiędzy
oddziałami firmy (rysunek 2) oraz tunele SSL dla pracowników zdalnych umożliwiają bezpieczną wymianę informacji korporacyjnych. Infrastruktura IT firmy umożliwia realizację
podstawowych usług sieciowych tj. poczta, ftp, baza danych i strona WWW (intranet). Do
budowy sieci wykorzystano sprzęt firmy Cisco oraz 3Com.
Rys. 3. Architektura koncepcji sieci VPN
Testem sprawdzającym poprawność działania protokołu IPSec w konfiguracji Site-tosite była próba nawiązania sesji telnet i komunikacja komputera PC1 z komputerem
PC2 oraz przechwycenie ruchu przy pomocy Wireshark na komputerze PC1 oraz PC3
94
(za pomocą koncentratora w tunelu IPSec). Schemat połączenia IPSec w konfiguracji
Site-to-site został przedstawiony na poniższym rysunku.
Rys. 4. Schemat połączenia IPSec Site-to-site z analizatorem ruch w tunelu
Przechwycony ruch z PC3 jest zaszyfrowany, ponieważ jest przesyłany w tunelu IPSec.
Przechwycenie ruchu możliwe jest dzięki koncentratorowi, który przenosi sygnał
z portu wejściowego na wszystkie porty wyjściowe, bit po bicie.
IPSec zapobiega wszelkim modyfikacjom pakietów. Często jednak występują konflikty
w trakcie przesyłania pakietów przez serwer translacji adresów NAT (ang. Network
Address Translation), który modyfikuje pakiety, zamieniając adresy publiczne na prywatne. W celu umożliwienia nawiązywania połączeń przechodzących przez routery
z NAT-em, stosowany jest mechanizm NAT Traversal. Jeśli oba punkty komunikacji
ustalą, z jakim typem NAT mają do czynienia, przechodzą automatycznie na komunikację wykorzystującą port UDP o numerze 4500, aby przenosić dalszy ruch IPSec z użyciem enkapsulacji UDP [4, 5].
Tworząc tunel IPSec, dla połączeń przechodzących przez routery z translacją adresów
NAT nie można użyć protokołu AH, ponieważ nie jest możliwa zamiana adresu źródłowego w nagłówku pakietu IP (cały nagłówek zabezpieczony jest przed zmianą). Jakakolwiek próba modyfikacji pakietu uznana będzie przez drugą stronę za naruszenie
integralności danych. W przypadku protokołu ESP ochronie integralności nie podlega
„zewnętrzny” nagłówek IP, tak więc możliwa jest zamiana źródłowego adresu IP. Korzystając z trybu tunelowego, z przechwyconego pakietu nie jest możliwe odczytanie
rzeczywistego adresu źródłowego i docelowego komunikacji, tylko adres IP początku
i końca tunelu IPSec [6]. Ze względu na występowanie translacji NAT i zastosowaniu
mechanizmu NAT-T protokołem transportowym jest UDP. Pakiety ESP tunelowane
w pakietach UDP nie są modyfikowane przez urządzenia NAT, dzięki czemu VPN
funkcjonuje bez zakłóceń.
Kolejnym utrudnieniem pojawiającym się podczas konfiguracji tuneli IPSec jest to, iż
ochrona pakietów za pomocą protokołu IPSec powoduje zwiększenie ich rozmiaru
o dodatkowe nagłówki. Protokół ESP powoduje narzut co najmniej 36 bajtów. W sytuacji gdy rozmiar datagramu IP wraz z narzutem IPSec przekroczy maksymalna jednostkę transmisji MTU (ang. maximum transmission unit) obowiązującą w sieci fizycznej,
urządzenie VPN wykonuje fragmentację, która wpływa niekorzystnie na wydajność
transmisji danych i należy w miarę możliwości jej unikać. Dobrej klasy urządzenia
95
VPN, aby uniknąć fragmentacji datagramów, potrafią dla sesji TCP ustawić odpowiednią wartość maksymalnego segmentu MSS (ang. maximum segment size).
Zbiór urządzeń przedstawionego projektu sieci VPN tworzą:
Urządzenia końcowe:
•
•
•
•
•
Telefon: Videotelefon.
Terminal (procesor: Intel® Core™2 Quad Processor Q8200, płyta główna - Asus
P5Q, pamięć: Kingston 4GB, dysk: Samsung 750GB, karta grafiki: Gigabyte GeForce 9600).
Router:
Dostępowy: Cisco model: 18XX,
Szkieletowy: Cisco 28XX.
Router z punktem dostępu 802.11n.
Przełączniki: Szkieletowy (warstwy 2 / 3).
Urządzenia infrastruktury kablowej: Kabel kategorii 5e/6, szafa stojąca, osprzęt instalacyjny: wtyki modularne i moduły RJ 45 UTP Keystone 5e/6, patchcordy, patch panel.
Zbiór oprogramowania to:
• System operacyjny klasy Microsoft Windows i Linux.
• Dedykowane oprogramowanie Cisco i badania jakości.
• Analizator ruchu.
• Aplikacja zarządzająca ruchem i danymi, bezpieczeństwa IPSec.
• Oprogramowania emulacji i generacji ruchu (SIP, H323).
• Programy do testowania.
Przedstawione powyżej elementy zostały skonfigurowane i uruchomione, a następnie
zostaną wykonane badania jakości usług środowiska sieciocentrycznego (rysunek 4)
w ramach programu badawczego PBZ–MNiSW–DBO–02/I/2007, Zaawansowane metody i techniki tworzenia świadomości sytuacyjnej w działaniach sieciocentrycznych.
3. Wnioski
Sieci SSL VPN oferują bezpieczny dostęp przez Internet w warstwie aplikacji przy
użyciu zwykłej przeglądarki. W konsekwencji administratorzy zainteresowani zdalnym
dostępem nie potrzebują dystrybuować i utrzymywać oprogramowania klienckiego na
zdalnych komputerach.
SSL VPN posiadał jednak wadę – ograniczał dostęp tylko do aplikacji opartych na
przeglądarce. Przeszkodę tę jednak usunięto przez odpowiednie dostosowanie aplikacji
lub ładowanie na zdalną maszynę agentów Java bądź Active X. Takie przeglądarkowe
wtyczki umożliwiają zdalnym komputerom tworzenie połączeń w warstwie sieciowej –
porównywalne do tych z IPSec. W rezultacie SSL VPN zdobywa rynek kosztem rozwiązań IPSec VPN i nie jest wykluczone, że ostatecznie okaże się zwycięzcą.
Jednak IPSec nadal jest preferowanym sposobem łączenia dwóch lokalizacji (site-tosite), a wielu dostawców SSL VPN nawet nie oferuje takiej funkcjonalności. Oprogra96
mowanie klienta IPSec nawiązuje połączenie przez Internet do bramy IPSec VPN, po
czym inicjowana jest procedura wymiany kluczy IKE (Internet Key Exchange). Po
pomyślnym uwierzytelnieniu zdalnej maszyny, zestawiany jest tunel VPN. W tym momencie zdalny komputer staje się częścią sieci prywatnej, podobnie jak komputery
bezpośrednio do niej podpięte. IPSec uważany jest za najbezpieczniejszy rodzaj sieci
wirtualnej, ponieważ wykorzystuje tzw. silną kryptografię oraz rozbudowane mechanizmy uwierzytelniania. IPSec jest tak naprawdę kolekcją protokołów kryptograficznych
i uwierzytelniających.
Literatura
1.
M. Stawowski, Projektowanie i praktyczne implementacje sieci VPN, Warszawa
2004.
2.
Artykuły NetWord: http://www.networld.pl
3.
M. Serafin, Sieci VPN: Zdalna praca i bezpieczeństwo danych, Helion 2010.
4.
RFC 2401, Security Architecture for the Internet Protocol (IPsec overview) Obsolete by RFC 4301.
5.
RFC 2410, The NULL Encryption Algorithm and Its Use With IPSec, RFC 2411: IP
Security Document Roadmap.
6.
Configuring IPsec Between Two Routers and a Cisco VPN Client 4.x, Cisco Systems, 7/2007.
97