wirtualne_sieci_prywat
Transkrypt
wirtualne_sieci_prywat
Wirtualne Wirtualne sieci sieci prywatne prywatne Andrzej GRZYWAK Politechnika Śląska Politechnika InstytutŚląska Informatyki Instytut Informatyki Ustroń, 13-16.09.2004 Rozwój Rozwój mechanizmów mechanizmów ii systemów systemów bezpieczeństwa bezpieczeństwa • Systemy • Autentyfikacja bezpieczne • Zapory • Kryptoanaliza • Szyfry • Ochrona zasobów • Bezpieczeństwo przechowywania informacji Kompleksowe ujęcie bezpieczeństwa systemu VPN Czas [ lata ] ZagroŜenia Środki poprawiające bezpieczeństwo • zniszczenie informacji • modyfikacja przesyłanej informacji • błędne przetwarzanie lub przesyłanie informacji • błędna autentyfikacja uŜytkowników • dostęp do informacji przez osoby niepowołane • brak certyfikacji i autentyfikacji dokumentu • awaria systemów I • redundancja zapisu informacji • właściwe zasilanie rozproszonych systemów • archiwizacja danych • szyfrowanie informacji • autentyfikacja uŜytkowników i ich uprawnień • certyfikacja dokumentów • podpis cyfrowy • właściwe projektowanie systemów II • wirtualne sieci prywatne Politechnika Śląska Instytut Informatyki Ustroń, 13-16.09.2004 Wymiana Wymiana plików plików w w zamkniętej zamkniętej grupie grupie uŜytkowników uŜytkowników (System (System SecInfoWay) SecInfoWay) INTERNET Intruz przechwycił przesyłkę, ale jej nie odczyta ! Szyfrator plików SecInfoWay Chroniony dokument Politechnika Śląska Instytut Informatyki Kompresja Szyfrowanie kluczem sesji Dołączanie do wiadomości Ustroń, 13-16.09.2004 VPN VPN SK 2 SK 2 SK 3 SK 1 SK 3 SK 1 WAN SK 5 SK 4 Połączenia logiczne SK 4 SK 5 Połączenia fizyczne SK - System komputerowy przedsiębiorstwa Politechnika Śląska Instytut Informatyki Ustroń, 13-16.09.2004 Sieci Sieci VPN VPN ((Virtual Virtual Private Private Network Network)) a) VPN Remote-Access b) VPN Site-to Site a) UŜytkownik z siecią lokalną NAS - Network Access Server NAS INTERNET Enterprise Service Provider b) MC UŜytkownik VPN Brama LAN Brama LAN INTERNET Stacja A Politechnika Śląska Instytut Informatyki LAN FW Stacja B Ustroń, 13-16.09.2004 Enkapsulacja Enkapsulacja dane TCP IP IPSec sieć Politechnika Śląska Instytut Informatyki ( PPP, Ethernet ) Ustroń, 13-16.09.2004 VPN VPN Składniki VPN: • oprogramowanie uŜytkownika, • zapory ogniowe, • dedykowany serwer (NAS). Tunelowanie Bezpieczeństwo VPN: • zapory ogniowe, • szyfrowanie symetryczne, • szyfrowanie niesymetryczne. Cały pakiet w innym pakiecie. Trzy protokoły: • protokół transportowy - Carrier Protocol (transport informacji), • protokół kapsułowania lub tunelowania - GRE, IPSec (owjanie oryginalnych danych), • protokół przenoszenia - IP, IPX, ... . Zdalny dostęp oparty o PPP: • PPTP (Point to Point Tuneling Protocol). IP Security Politechnika Śląska Instytut Informatyki Dwa tryby szyfrowania tunelowy i transportowy: • tunelowy szyfruje nagłówek i ładunek, • transportowy szyfruje ładunek. Ustroń, 13-16.09.2004 Protokół Protokół IPSec IPSec IP IP IPSec N N Nowy nagłówek N D Jawne dane i nagłówek N D Zaszyfrowane dane i nagłówek Tryb tunelowy IP N D N D IP N Politechnika Śląska Instytut Informatyki IPSec Tryb transportowy Ustroń, 13-16.09.2004 IPSec IPSec IPSec - trzy protokoły: • AH - Autentication Header, • ESP - Encapsulation Security Protocol, • ISAKMP - Internet Security Association and Key Management Protocol. AH - Uwierzytelnianie, integralność (suma kontrolna) i pochodzenie danych (tajny dzielony klucz). ESP - Szyfrowanie (symetryczny współdzielony klucz). ISAKMP - Struktura negocjowania, generowanie kluczy i ich odświeŜanie. Serwer AAA • Autentication, Authorization, Accounting. • Remote Access. Serwer sprawdza autentyfikacje uŜytkownka i jego uprawnienia. Politechnika Śląska Instytut Informatyki Ustroń, 13-16.09.2004 Wnioski Wnioski końcowe końcowe Podnoszą bezpieczeństwo informacji rozproszonych systemów komputerowych Sieci VPN Stwarzają moŜliwości budowy bardziej efektywnych aplikacji Politechnika Śląska Instytut Informatyki Ustroń, 13-16.09.2004