Numer 4/2003

18 sierpnia 2003

W odpowiedzi na duże zainteresowanie technologiami zabezpieczeń VPN oddajemy w Państwa ręce kompletne opracowanie obejmujące zagadnienia związane z technicznymi zasadami działania IPSec/IKE, praktyczną implementacją różnych scenariuszy VPN oraz metodami ustalania źródeł i rozwiązywania problemów. Artykuł przygotowany został na wysokim poziomie technicznym. Jako wprowadzenie do tej tematyki zamieściliśmy w odrębnym dokumencie opis podstawowych algorytmów i technik kryptograficznych stosowanych w sieciach VPN.

W pierwszym numerze biuletynu analizowaliśmy wymagania stawiane platformie zabezpieczeń Firewall. Wydajny sprzęt i odpowiednie przygotowanie systemu operacyjnego są bowiem kluczowe dla poprawnego funkcjonowania zabezpieczeń. W ostatnim czasie pojawiły się na polskim rynku nowe rozwiązania w tym zakresie, jak platforma Firewall dostarczana przez SUN Microsystems. Jako uzupełnienie naszej analizy proponuję zapoznać się z rzetelnie przygotowaną charakterystykę tego rozwiązania – przeczytaj dokument

W bieżącym wydaniu:

• Wprowadzenie do technologii VPN
• Zasady działania i praktyczne implementacje sieci VPN na bazie protokołów IPSec/IKE
• Nieco socjologii

Wprowadzenie do technologii VPN

Artykuł omawia podstawowe algorytmy i techniki kryptograficzne stosowane w sieciach komputerowych, jak szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana, funkcje haszujące i HMAC oraz podpisy i certyfikaty cyfrowe (X.509). W opracowaniu przedstawione zostały także rodzaje sieci VPN (m.in. Meshed VPN, Hub&Spoke) oraz mechanizmy ich funkcjonowania (m.in. tunelowanie pakietów).

 Przeczytaj artykuł - vpn_crypto.pdf, 325 KB

Artykuł przedstawia techniczne szczegóły funkcjonowania i implementacji sieci VPN. Dokument został podzielony na następujące rozdziały:

1. Techniczne zasady funkcjonowania sieci IPSec (ESP-AH, Transport-Tunnel, SA-SPI).
2. Negocjowanie sesji VPN za pomocą protokołu IKE (Main-Aggressive/Quick Mode, Pre-Shared/X.509, PFS, Replay Protection).
3. Implementacje sieci VPN Site-Site (Policy-based VPN, Routing-based VPN).
4. Wykorzystanie certyfikatów cyfrowych do uwierzytelniania sieci VPN (X.509, PKCS#7/10, SCEP, OCSP).
5. Implementacje sieci VPN Client-Site.
6. Weryfikacja poprawności funkcjonowania VPN.
7. Ustalenie przyczyny problemów funkcjonowania VPN. 

 Przeczytaj artykuł - vpn_techn.pdf, 1068 KB

Wydaje się, że nie trzeba nikogo przekonywać, iż hasła, jako jednoskładnikowe metody uwierzytelniania i ochrony nie są już od dawna wystarczającym rozwiązaniem.

Organizatorzy Infosecurity Europe 2003 w wyniku przeprowadzonych badań stwierdzili, iż 95% mężczyzn i 85% kobiet jest skłonnych podać swoje hasło "ankietujacej" osobie w wyniku prostych zabiegow socjotechnicznych - np. w zamian za tanie pióro (chociaż 75% z nich podało je bez wahania, jako odpowiedź w ramach przeprowadzanej ankiety). Okazuje się, iż, co zaskakujące, są to wyniki sporo gorsze, niż jeszcze rok temu, kiedy średnio 65% użytkowników było skłonnych do takiej wylewności.

Jeden z respondentów stwierdził - "Jestem szefem firmy i nie podam wam hasła, ponieważ mogłoby to naruszyć poufnośc danych mojej firmy". W trakcie rozmowy powiedział jednak, że tym hasłem jest imię jego córki. Po krótkim czasie - zadano mu pytanie jak ma na imię jego córka. Odpowiedź, udzielona bez namysłu, brzmiała - "Tasmin"

Ponadto 80% z nich przyznało się, iż w wypadku zmiany pracy niemieliby skrupułów zabierając ze sobą poufne dane, czy tez ujawniając wysokość dotychczasowych zarobków.

12% haseł brzmiało "password", zaś jako 16% z nich uzywane było imię użytkownka, a następnie (11%) - nazwa drużyny piłkarkiej oraz data urodzin (8%).

Dwie trzecie pracowników podało swoje hasła swoim kolegom, zaś trzy czwarte znało hasła swoich współpracowników (???!!!)

Ponadto dwie trzecie pracowników używało dokładnie tego samego hasła do dostępu do informacji korporacji, jak i wszystkich innych kont - m.in. bankowych, portali webowych, etc.

Tamar Beck, dyrektor InfoSecurity Europe 2003, stwierdził: "Pracownicy są czasem naiwni, słabo wyszkoleni lub nie zostali uświadomieni ryzyka bezpieczeństwa. Dlatego też pracodawcy muszą stworzyć kulturę ochrony ich informacji i reputacji z politykami bezpieczeństwa popartymi szkoleniami, by wspierać technologie bezpieczeństwa".

Link do orginału: http://www.theregister.co.uk/content/archive/30324.html

Jak zapobiegać takim naruszeniom bezpieczeństwa stosując dwuskładnikowe uwierzytelnianie ? Obecnie najbardziej nośną koncepcją w zakresie mocnego dwuskładnikowego uwierzytelniania są korporacyjne karty inteligentne (Corporate Access Card) oparte o wieloaplikacyjną platformę Javacard, które możemy stosować równoczesnie do bardzo wielu aspektów ochrony - m.in:

• hasła statyczne,
• hasła dynamiczne (bodaj jedynym dostawcą tego typu technologii generowania hasła jednorazowego na samej karcie, po podaniu przez użytkownika jedynie PIN-u jest obecnie Activcard),
• mocne uwierzytelnianie dostępu do systemów (MS Windows, Linux/Unix, Mac),
• mocne uwierzytelnianie dostępu do portali webowych,
• Infrastruktura Klucza Publicznego (MS Windows, Linux/Unix, Mac),
• kontrola dostępu do pomieszczeń (karta hybrydowa),
• wspomaganie pojedynczego logowania (Single Sign On),
• uwierzytelnianie w oparciu o dane biometryczne (porównywane bezpośrednio na samej karcie !)

Czyli "Jedna karta do wszystkiego" ! A co ważniejsze - mamy możliwość rozszerzania jej funkcjonalności o kolejne, ograniczone jedynie naszą pomysłowością, aspekty - programy lojalnościowe, elektroniczną portmonetkę, itp.

Więcej informacji o rozwiązaniach technologicznych na stronach:

• http://www.clico.pl/software/activcard
• http://www.clico.pl/software/activcard/html/activcard_gold.html
• http://www.clico.pl/software/activcard/html/tokeny.html
• http://www.clico.pl/software/esafe/html/etoken.html 

Jeżeli nie chcesz otrzymywać dlaszych wydań tego biuletynu wyrejestruj swój adres e-mail z pomocą tego formularza

Jeżeli wydaje Ci się, że ten biuletyn jest atrakcyjny zaproponuj jego subskrypcję znajomym

Zobacz poprzednie wydania

ZASTRZEŻENIE PRAWNE

• Niniejsza przesyłka adresowana jest do ściśle okreslonego odbiorcy.
• W rozumieniu ustawy 18.07.2002r. (DZ.U. nr 144 poz. 1204) "O świadczeniu usług drogą elektroniczną" niniejsza przesyłka stanowi korespondencję zamówioną i nie może być podstawą do jakichkolwiek roszczeń prawnych. W każdej chwili adresat może zrezygnować z korzystania z tego serwisu poprzez wysłanie stosownej prośby na adres nadawcy.

©  CLICO Sp. z o.o. Wszelkie prawa zastrzeżone