wirtualne_sieci_prywat

Wirtualne
Wirtualne sieci
sieci prywatne
prywatne
Andrzej GRZYWAK
Politechnika Śląska
Politechnika
InstytutŚląska
Informatyki
Instytut Informatyki
Ustroń, 13-16.09.2004
Rozwój
Rozwój mechanizmów
mechanizmów ii systemów
systemów
bezpieczeństwa
bezpieczeństwa
• Systemy
• Autentyfikacja bezpieczne
• Zapory
• Kryptoanaliza
• Szyfry
• Ochrona zasobów
• Bezpieczeństwo
przechowywania informacji
Kompleksowe
ujęcie
bezpieczeństwa
systemu
VPN
Czas [ lata ]
ZagroŜenia
Środki poprawiające bezpieczeństwo
• zniszczenie informacji
• modyfikacja przesyłanej informacji
• błędne przetwarzanie lub przesyłanie informacji
• błędna autentyfikacja uŜytkowników
• dostęp do informacji przez osoby niepowołane
• brak certyfikacji i autentyfikacji dokumentu
• awaria systemów
I
• redundancja zapisu informacji
• właściwe zasilanie rozproszonych systemów
• archiwizacja danych
• szyfrowanie informacji
• autentyfikacja uŜytkowników i ich uprawnień
• certyfikacja dokumentów
• podpis cyfrowy
• właściwe projektowanie systemów
II
• wirtualne sieci prywatne
Politechnika Śląska
Instytut Informatyki
Ustroń, 13-16.09.2004
Wymiana
Wymiana plików
plików w
w zamkniętej
zamkniętej
grupie
grupie uŜytkowników
uŜytkowników (System
(System SecInfoWay)
SecInfoWay)
INTERNET
Intruz przechwycił przesyłkę,
ale jej nie odczyta !
Szyfrator plików
SecInfoWay
Chroniony
dokument
Politechnika Śląska
Instytut Informatyki
Kompresja
Szyfrowanie
kluczem sesji
Dołączanie
do
wiadomości
Ustroń, 13-16.09.2004
VPN
VPN
SK 2
SK 2
SK 3
SK 1
SK 3
SK 1
WAN
SK 5
SK 4
Połączenia logiczne
SK 4
SK 5
Połączenia fizyczne
SK - System komputerowy przedsiębiorstwa
Politechnika Śląska
Instytut Informatyki
Ustroń, 13-16.09.2004
Sieci
Sieci VPN
VPN
((Virtual
Virtual Private
Private Network
Network))
a) VPN Remote-Access
b) VPN Site-to Site
a) UŜytkownik z siecią lokalną
NAS - Network Access Server
NAS
INTERNET
Enterprise
Service
Provider
b)
MC
UŜytkownik VPN
Brama
LAN
Brama
LAN
INTERNET
Stacja A
Politechnika Śląska
Instytut Informatyki
LAN
FW
Stacja B
Ustroń, 13-16.09.2004
Enkapsulacja
Enkapsulacja
dane
TCP
IP
IPSec
sieć
Politechnika Śląska
Instytut Informatyki
( PPP, Ethernet )
Ustroń, 13-16.09.2004
VPN
VPN
Składniki VPN:
• oprogramowanie uŜytkownika,
• zapory ogniowe,
• dedykowany serwer (NAS).
Tunelowanie
Bezpieczeństwo VPN:
• zapory ogniowe,
• szyfrowanie symetryczne,
• szyfrowanie niesymetryczne.
Cały pakiet w innym pakiecie.
Trzy protokoły:
• protokół transportowy - Carrier Protocol (transport informacji),
• protokół kapsułowania lub tunelowania - GRE, IPSec (owjanie oryginalnych danych),
• protokół przenoszenia - IP, IPX, ... .
Zdalny dostęp oparty o PPP:
• PPTP (Point to Point Tuneling Protocol).
IP Security
Politechnika Śląska
Instytut Informatyki
Dwa tryby szyfrowania tunelowy i transportowy:
• tunelowy szyfruje nagłówek i ładunek,
• transportowy szyfruje ładunek.
Ustroń, 13-16.09.2004
Protokół
Protokół IPSec
IPSec
IP
IP
IPSec
N
N
Nowy nagłówek
N
D
Jawne dane i nagłówek
N
D
Zaszyfrowane dane i nagłówek
Tryb tunelowy
IP
N
D
N
D
IP
N
Politechnika Śląska
Instytut Informatyki
IPSec
Tryb transportowy
Ustroń, 13-16.09.2004
IPSec
IPSec
IPSec - trzy protokoły:
• AH - Autentication Header,
• ESP - Encapsulation Security Protocol,
• ISAKMP - Internet Security Association and Key Management Protocol.
AH - Uwierzytelnianie, integralność (suma kontrolna) i pochodzenie
danych (tajny dzielony klucz).
ESP - Szyfrowanie (symetryczny współdzielony klucz).
ISAKMP - Struktura negocjowania, generowanie kluczy i ich odświeŜanie.
Serwer AAA
• Autentication, Authorization, Accounting.
• Remote Access.
Serwer sprawdza autentyfikacje uŜytkownka i jego uprawnienia.
Politechnika Śląska
Instytut Informatyki
Ustroń, 13-16.09.2004
Wnioski
Wnioski końcowe
końcowe
Podnoszą bezpieczeństwo informacji
rozproszonych systemów komputerowych
Sieci VPN
Stwarzają moŜliwości budowy
bardziej efektywnych aplikacji
Politechnika Śląska
Instytut Informatyki
Ustroń, 13-16.09.2004