Klasyfikacja i analiza wybranych mechanizmów bezpieczeństwa w sieciach VPN - str. 2 - IP - IPSEC - ESP - TELEKOMUNIKACJA - VPN - SIECI - LAN - AH - PPTP - L2TP - PPP - TCP
Mouser Electronics Poland   Przedstawicielstwo Handlowe Paweł Rutkowski   Amper.pl sp. z o.o.  

Energetyka, Automatyka przemysłowa, Elektrotechnika

Dodaj firmę Ogłoszenia Poleć znajomemu Dodaj artykuł Newsletter RSS
strona główna ARTYKUŁY Telekomunikacja Klasyfikacja i analiza wybranych mechanizmów bezpieczeństwa w sieciach VPN
drukuj stronę
poleć znajomemu

Klasyfikacja i analiza wybranych mechanizmów bezpieczeństwa w sieciach VPN

2. SSL VPN


Protokół TLS (ang. Transport Layer Security) jest rozwinięciem protokołu SSL (ang. Secure Socket Layer). Istnieją niewielkie różnice pomiędzy tymi protokołami, ale w większości przypadków zasada działania jest identyczna. Wirtualne sieci prywatne warstwy transportu modelu TCP/IP zwykle określa się jako SSL VPN.

TLS jest najczęściej używanym protokołem zabezpieczającym transfer danych w warstwie transportu modelu TCP/IP. Stosuje się go zazwyczaj do zabezpieczenia ruchu poszczególnych aplikacji opartych na HTTP, ale może być też wykorzystywany do innych typów aplikacji, np. SMTP, POP (ang. Post Office Protocol), FTP. Użytkownicy, którzy chcą korzystać z aplikacji chronionej przez TLS nie muszą instalować dodatkowego oprogramowania ani zmieniać konfiguracji systemu operacyjnego, ponieważ większość przeglądarek internetowych ma wbudowaną obsługę TLS/SSL.

Protokół TLS może być stosowany w architekturze typu host-to-host lub host-to-gateway. Istnieją rozwiązania pozwalające na stosowanie TLS w architekturze gateway-to-gateway, ale w tym przypadku lepiej sprawdza się protokół IPSec.

Istnieją dwa rodzaje SSL VPN: SSL portal VPN oraz SSL tunel VPN. Używane są one głównie w celu zabezpieczenia połączenia użytkowników zdalnych z bramą VPN. Brama SSL VPN może być dedykowanym urządzeniem posiadającym oprogramowanie mogące pełnić funkcje związane z SSL. Przykładem urządzeń pełniących rolę bramy VPN może być router lub firewall posiadający odpowiedni system operacyjny.

TLS w zależności od konfiguracji i implementacji może zapewniać następujące typy zabezpieczeń:

  • poufność - dane mogą zostać zaszyfrowane, dzięki czemu nawet w wypadku przechwycenia ich przez osoby trzecie, odczytanie ich nie będzie możliwe. Odszyfrować dane może tylko osoba znająca tajny klucz.
  • integralność - TLS może sprawdzić, czy dane zostały zmienione podczas przesyłu. Odbywa się to poprzez dodanie do wiadomości MAC (ang. Message Authentication Code), czyli pewnego kod obliczonego w wyniku funkcji, której argumentami wejściowymi są tajny klucz oraz wiadomość. Odbiorca wiadomości może ponownie wyznaczyć kod MAC i porównać go z oryginalnym w celu zweryfikowania danych.
  • uwierzytelnianie - każdy punkt końcowy połączenia SSL może zweryfikować tożsamość drugiego, co stanowi zabezpieczenie, że komunikacja odbywa się z odpowiednią osobą (lub urządzeniem).
  • zabezpieczenie przed powtórzeniami - dzięki wykorzystaniu numerów sekwencyjnych te same dane nie zostaną odebrane kilkakrotnie, a w przypadku odebrania w złej kolejności zostaną poprawnie złożone.
  • zabezpieczenie przed analizą ruchu - SSL może ukryć takie informacje jak: częstotliwość komunikacji i ilość przesyłanych danych. Mimo to liczba przesłanych pakietów może zostać policzona, a adresy IP pozostają jawne.
  • kontrola dostępu - dzięki opcji filtrowania SSL może zapewnić, aby odpowiedni użytkownicy mieli dostęp do odpowiednich zasobów sieciowych.

2.1. Architektura SSL VPN

SSL VPN jest rozwiązaniem zapewniającym bezpieczny zdalny dostęp do zasobów firmowych przy użyciu przeglądarki internetowej. Dostęp ten może polegać na łączności z aplikacjami posiadających interfejs obsługiwany przez przeglądarkę, aplikacjami typu klient-serwer lub na łączności z urządzeniami znajdującymi się wewnątrz sieci chronionej przez bramę VPN. Ruch pomiędzy bramą a przeglądarką szyfrowany jest przez protokół SSL. Typowymi użytkownikami SSL VPN są pracownicy w zdalnych oddziałach firmy, użytkownicy mobilni lub partnerzy biznesowi. Mogą się oni łączyć z różnych typów urządzeń, takich jak: firmowe laptopy, komputery osobiste lub telefony komórkowe wyposażone w odpowiednie oprogramowanie. Jedynym wymaganiem jest zainstalowanie na danym urządzeniu przeglądarki internetowej obsługującej protokół SSL. Typową architekturę SSL VPN przedstawiono na rysunku 6 [7].





Rysunek 6 Architektura sieci SSL VPN.



2.2. Funkcje dostępne w SSL VPN

W rozwiązaniu SSL VPN najczęściej bramą jest dedykowane urządzenie wykonujące tylko tą funkcję. Może to być również rozwiązanie programowe zainstalowane na serwerze. W zależności od wybranego urządzenia lub programu, rozwiązanie SSL VPN oferuje jedną lub więcej z poniższych funkcji [7]:

  • proxy - jest urządzeniem pośredniczącym w wymianie danych pomiędzy klientem a serwerem. W komunikacji z klientem, urządzenie proxy podaje się za serwer, a z komunikacji z serwerem - za klienta. Proxy wykorzystywane jest głównie z SSL portal VPN. Brama SSL portal VPN pracuje jako urządzenie typu proxy, odbiera żądania od użytkownika, przetwarza je i wysyła do serwera WWW - (ang. World Wide Web), ściąga z niego żądane informacje i wysyła do przeglądarki użytkownika.
  • application translation - proces polegający na konwertowaniu informacji z jednego protokołu do drugiego. Techniki tej używa się w celu umożliwienia użytkownikowi dostępu do aplikacji nieposiadających interfejsu obsługiwanego przez przeglądarkę.
  • network extension (rozszerzenie sieci) - sposób zapewnienia zdalnym użytkownikom częściowej lub całkowitej łączności z siecią chronioną przez bramę VPN. Użytkownicy mogą wtedy łączyć się i mieć dostęp do wewnętrznych zasobów tak jakby znajdowali się fizycznie w tej samej sieci. Network extension stosowany jest w SSL tunel VPN. Dodatkowo możliwy jest split tunneling (ochron przez tunel SSL tylko ruchu, który powinie trafić do sieci firmowej) lub full tunneling (ochrona przez tunel SSL całego ruchu użytkownika, niezależnie od tego czy jest to ruch związany z zasobami sieci firmowej). Network extension wymaga zainstalowania na urządzeniu użytkownika dodatkowego oprogramowania, np. wtyczki do przeglądarki internetowej.


2.3. Usługi bezpieczeństwa w SSL VPN

Urządzenia SSL VPN oferują standardowo następujące usługi bezpieczeństwa [8]:

  • uwierzytelnianie - polega na potwierdzeniu tożsamości użytkownika, który chce skorzystać z SSL VPN.
  • kontrola zabezpieczeń użytkownika - brama VPN może mieć możliwość sprawdzenia zabezpieczeń systemu użytkownika. Dodatkowo brama może sprawdzić, czy na komputerze użytkownika uruchomiony jest program antywirusowy i firewall, czy system jest zaktualizowany lub czy nie ma na nim szkodliwego oprogramowania. Może też mieć możliwość czyszczenia pamięci podręcznej przeglądarek internetowych po zakończeniu sesji w celu usunięcia poufnych danych z systemu użytkownika.
  • ochrona przed włamaniami - mechanizm sprawdzania danych po ich odszyfrowaniu pod kątem obecności wirusów, robaków lub innych szkodliwych kodów.
  • szyfrowanie i zapewnienie integralności - szyfrowanie zapewnia poufność transmisji danych a sprawdzanie integralności gwarantuje, że dane nie zostały naruszone w trakcie przesyłu.
  • kontrola dostępu - przyznawanie różnych praw dostępu dla różnych użytkowników.


2.4. Problemy występujące w SSL VPN

Technologia SSL VPN jest rozwinięta i stosowana na szeroką skalę, ale mimo tego wciąż narażona jest na niebezpieczeństwa i problemy [7].

Pomimo faktu, że SSL VPN nie wymaga żadnego dodatkowego oprogramowania w systemie użytkownika, nie zawsze możliwe jest nawiązanie połączenia z dowolnego komputera. Jeśli użytkownik znajduje się w kafejce internetowej, może on nie mieć odpowiednich uprawnień w systemie operacyjnym, aby zezwolić na zainstalowanie programu lub wtyczki do przeglądarki umożliwiającej połączenie SSL tunel VPN.

Poważną kwestią w SSL VPN jest stopień zaufania do komputera, z którego łączy się dany użytkownik. Jeśli jest to komputer dostępny publicznie, może nie mieć zainstalowanego programu antywirusowego i najnowszych poprawek do systemu operacyjnego. Stanowi to poważne zagrożenie dla chronionej siec podczas połączenia z takim komputerem. Ponadto po zakończeniu sesji na takim ogólnym systemie mogą pozostać poufne informacje przechowywane w katalogach plików tymczasowych.

Urządzenia oraz programowe rozwiązania SSL VPN powinny być kompatybilne z różnymi systemami operacyjnymi i urządzeniami, z których użytkownik może chcieć się połączyć. Niestety nie wszystkie rozwiązania SSL VPN dają pełną kompatybilność. Istnieje niewiele rozwiązań wspierających komputery kieszonkowe i telefony komórkowe.

Tryb rozszerzenia sieci nie jest dostępny dla każdego i z każdej lokalizacji. W przypadku, gdy użytkownik danego systemu operacyjnego nie ma odpowiednich uprawnień w systemie, może on nie pozwolić mu na uruchomienie dodatkowego oprogramowania niezbędnego do uruchomienia trybu network extension.

Należy również zaznaczyć, że niektóre rozwiązania SSL VPN nie współpracują z aplikacjami typu klient-serwer.




follow us in feedly
Średnia ocena:
 
REKLAMA

Otrzymuj wiadomości z rynku elektrotechniki i informacje o nowościach produktowych bezpośrednio na swój adres e-mail.

Zapisz się
Administratorem danych osobowych jest Media Pakiet Sp. z o.o. z siedzibą w Białymstoku, adres: 15-617 Białystok ul. Nowosielska 50, @: biuro@elektroonline.pl. W Polityce Prywatności Administrator informuje o celu, okresie i podstawach prawnych przetwarzania danych osobowych, a także o prawach jakie przysługują osobom, których przetwarzane dane osobowe dotyczą, podmiotom którym Administrator może powierzyć do przetwarzania dane osobowe, oraz o zasadach zautomatyzowanego przetwarzania danych osobowych.
Komentarze (0)
Dodaj komentarz:  
Twój pseudonim: Zaloguj
Twój komentarz:
dodaj komentarz
REKLAMA
Nasze serwisy:
elektrykapradnietyka.com
przegladelektryczny.pl
rynekelektroniki.pl
automatykairobotyka.pl
budowainfo.pl