ТЕМА: Offices (WAN) - iseca.orgiseca.org/downloads/2003_2004-1/papers/M21297_M... · отдалечена extranet мрежа, отдалечен достъп и дори интранет

СОФИЙСКИ УНИВЕРСИТЕТ “СВ. КЛИМЕНТ ОХРИДСКИ”

ФАКУЛТЕТ ПО МАТЕМАТИКА И ИНФОРМАТИКА

Курсов проект

по мрежова сигурност

ТЕМА: Offices (WAN)

Николай Попов фак. No 21297

Константин Константинов фак. No 21247

Николай Ангелов фак. No 21252

София, януари 2004

МРЕЖОВА СИГУРНОСТ 2003/2004 ПРОЕКТ 2.

Каква е основната идея на Виртуалната Частна мрежа (VPN)? Една корпорацияможе да има делокализирана структура с офиси или групи от офиси изстраната и всеки от тези офиси може да има собствена локална мрежа.Свързвайки тези отделни мрежи по някакъв начин, ние създаваме виртуалначастна мрежа. Преди да преминем конкретно към въпросите на сигурността,нека първо рагледаме различните варианти на свързване.

Физическа среда за изграждане на VPN

Глобалната или отдалечена мрежа (WAN) е мрежа за пренос на данни, коятопокрива значителни части от даден географски район. Много често, този видуслуга се осигурява от специализирани доставчици или от телефоннитекомпании. За разлика от локалните мрежи (LAN), при глобалните мрежи (WAN)връзките се осигуряват предимно от доставчика.

Глобалната мрежа (WAN) се използва за свързване на различни страни отразлични географски райони, така че хората да могат да разменятинформация помежду си. Изискванията към връзката могат да бъдат най-разнообразни. Например две страни могат да изискват една обща връзка,понеже ще разменят много информация в реално време. От друга страна единпотребител, който непрекъснато е в движение, ще се нуждае от връзка самопериодично – примерно да проверява пощата си през деня.

Администраторът, изграждащ отдалечена мрежа трябва вземе предвид всичкифактори - потребителските нужди, широчината на честотната лента, както ицената на възможните технологии. Едва след това да избере технологията,която най-добре отговаря на нуждите на потребителя и неговия бюджет.

Различните видове предлагани WAN връзки, могат да се групират в следнитекатегории:

● Наети линии

● Схемно превключване (Circuit switched)

● Пакетно превключване (Packet switched)

Връзки, изградени с наети линии – ATM / Frame Relay

Виртуалната частна мрежа (VPN) е набор от свързани мрежи в различнипосоки. До скоро, популярен начин за свързването на тези мрежи в САЩ иЗападна Европа беше използването на наети линии, осигурени от дадендоставчик. Тези линии сравнително добре осигуряват услугите, използвайкимножество протоколи, включително асинхронен режим на пренос или пакетнопренасяне (ATM/Frame Relay). Но те имат недостатъци, които ги отдалечаватот идеалното решение. Наетите линии са скъпи и могат да се окажатнедостатъчно гъвкави по отношение широчината на честотната лента. Така


потребителят се принуждава да избира между наета линия с прекалено малкачестотна лента или линия, предлагаща много по-голяма честотна лента отконкретните нужди, която струва доста скъпо. По принцип, тези наети линиине са единствената услуга, която се получава от доставчиците. Нормално е завсяка мрежа да се изисква и връзка към Интернет. Следователно, плащайки занаетата линия, клиентът ще трябва да плати и за достъп до Интернет(възможно е това да стане и чрез друг доставчик). Така клиентът ставаотговорен за управлението на целия трафик между мрежите, свързани чрезнаети линии.

Друг проблем на виртуалните частни мрежи, основани на наети линии ефактът, че в момента доставчиците бързо преминават към IP или IP/MPLSмрежи. Това ги затруднява да предлагат наети линии, имайки предвид, че тетрябва да управляват мрежи с асинхронен режим на пренос или с пакетнопренасяне, както и споделените IP мрежи, което допълнително оскъпяванаетите линии.

Частния характер на наетите линии позволява на използващите гиорганизации да максимизират контрола върху ползването на WAN връзките.Наетите линии също така предлагат високи скорости – над Т3/Е3 нива. Те самного подходящи за високообемни и постоянни трансфери на данни. Въпрекивсичко обаче, тези линии не са за обща употреба. (Отново споменавамевисоката им цена.)

От гледна точка на разходите, наетите линии са най-ефективни в следнитеситуации:

● Дълготрайност на връзката

● Малки разстояния


При наетите линии връзката е от тип point-to-point, което осигурява стабилнаи постоянна връзка на клиента през обслужващия доставчик до отдалеченатамрежа. Установената връзка е постоянна и стабилна за всяка от отдалеченитемрежи, свързани чрез устройствата на обслужващия доставчик. Тези връзки сазапазват през цялото време от доставчика за нуждите на клиента.

Сигурност в каналния слой от OSI модела се осъществява чрез хардуерниустройства, свързани в двата края на връзката, където се извършва кодиране идекодиране. Военните организации, правителствените служби, както и големифирми (банки, корпорации) са най-честите потребители на този подход. Тойне е сравним с големите Интернет мрежи, защото пакетите не се рутират втехния кодиран вид. Предимство на този метод е фактът, че единпотенциален подслушвач не може да определи нито източника, нитонаправлението на пакетите.

Връзки, изградени с DSL линии

DSL е популярна мрежова технология. Подобно на връзките, изградени снаети линии, връзките, изградени с DSL линии, са винаги достъпни иосигуряват сравнително добра скорост – до 1 Mbps. За да реализира своятасигурност, дадена организация може да използва DSL-маршрутизатор свиртуална частна мрежа (VPN) и защитна стена. Това решение изискваотдалечения служител да има DSL линия до дома си с достъп до Интернет,осигурена от локален доставчик. Защитната стена предпазва домашната LAN-мрежа от неоторизиран достъп, а VPN клиента криптира и защитава даннитепо време на техния трансфер. Критично е правилното конфигуриране иуправление на двата софтуера. Друга алтернатива е да се инсталирашироколентов шлюз-маршрутризатор (примерно Cisco 806 R), свързан къмшироколентов модем. Този вариант предполага обща връзка за всичкипотребители на LAN-а, без оглед на връзката, която се използва към Интернет(DSL, кабел, Ethernet или Long-Reach Ethernet).

Комутируема (Dial-up) връзка до сървър за отдалечен достъп (Remote AccessServer) т. нар. long distance dial-up connections

Една алтернатива за отдалечен достъп до VPN е dial-up сървър за отдалечендостъп (RAS). RAS изисква отделните служители да се свързват към общатамрежа на организацията посредством директна телефонна линия чрезмодеми, инсталирани на краищата на мрежата. Основните разлики междукомутируемите (dial-up) и VPN архитектурите са:

● Директното избиране по комутируема линия (dial-up) не поддържаИнтернет за връзките на дълги разстояния;

● Модемите се поддържат по-скоро от организацията, използващамрежата, от колкото от доставчика на Интернет (ISP);


● Тук криптирането на данните не е задължително условие, защототрафикът не преминава през чужди връзки

Отдалеченият достъп прави отдалечените служители по-продуктивни и по-ефективни, предоставяйки им директен достъп до информация от всяка точкапо света. Независимия достъп до електронна поща примерно улеснявазначително служители, които разчитат на този вид комуникация. В сравнение сизползването на сървър за отдалечен достъп (RAS), виртуалната частна мрежа(VPN) предлага значителни предимства:

Намаляване на разходите

Икономиите се осъществяват в две насоки:

● Интернет връзките, които са типично местни телефонни връзки, садалеч по-евтини от отдалечените обаждания по комутируема линия.Този факт принуждава много от организациите да пренебрегнатизползването на сървър за отдалечен достъп (RAS) в полза на VPNтехнологията.

● VPN оборудването е също по-евтино за изграждане, разширение иподдръжка. Според Giga Information Group услугата отдалечендостъп чрез VPN може да спести от 20 до 70 % спрямо RASтехнологията.

Мащабиране

Отдалечения достъп през виртуална частна мрежа включва процес наразпространение на клиентски софтуер и, ако е нужно, увеличаване начестотната лента на корпоративната връзка към Интернет. След катоведнъж всичко е установено, е лесно да се мащабират параметрите намрежата спрямо изискванията на потребителите. Настройването насървър за отдалечен достп (RAS) от друга страна, изисква евентуалнодопълнителен хардуер, както и още телефонни линии.

Обхват

Виртуалната частна мрежа (VPN) позволява на потребителите лесно да сесвързват към корпоративните мрежи посредством широколентов достъп.Това е особено привлекателна възможност, която решенията за достъппрез комутируеми линии не предлагат.

Връзки чрез публична мрежа (Интернет)

Използването на виртуални частни мрежи (VPN) за евтино и лесно свързване, свъзможност за избор на доставчици и клиенти, чрез използване на IP мрежидобива все по-голяма популярност. С правилен софтуер и метод за достъп,


сигурните комуникации стават възможни дори през широко достъпнияИнтернет. Коректно използвани, виртуалните частни мрежи са лесни заинсталиране, по-евтини за поддръжка и администриране от мрежите с наетилинии. Много компании в САЩ и Западна Европа все още използватотдалечени (WAN) частни мрежи, за да се свързват със своите партньори.Поради частния характер на тези връзки, тези мрежи осигуряват високо нивона сигурност и качество при преноса на данни. Въпреки това, прекаленоголямата честотна лента, която се заплаща от организациите, без да бъдеизползвана е недостатък на теззи мрежи. Друго неудобство на частнитеотдалечени мрежи е, че трябва да се купи, конфигурира и поддържатерминално оборудване, което е необходимо за свързването на локалнатамрежа с отдалечената мрежа. Всичко това прави частната отдалечена мрежаскъпа за изграждане и трудна за конфигурация и експлоатация. За разлика ототдалечените мрежи, когато виртуалната частна мрежа използва Интернет завръзка с отдалечените обекти, собственикът заплаща само честотната лента,която реално използва.

Виртуални частни мрежи обикновено се използват от организациите заосигуряване на по-ефективна и финансово достъпна връзка на служители,клиенти и други оторизирани потребители до частните им мрежи. Те саприложима алтернатива на използването на телефонни линии, с които сеподдържат отдалечени връзки, или пък на наетите линии, при които се срещатсериозни финансови затруднения при първоначалното оборудване иследващата експлоатация. Вместо да се свързват директно към частнитемрежи на организацията посредством скъпи публични комутируемителефонни мрежи (Public Switched Telephone Network, PSTN), потребителитемогат да използват такива мрежи, само за да се свържат с локалния доставчикна Интернет, който да предава потребителските данни през Интернет, като сереализират значителни икономии. Достъпът чрез виртуални частни мрежиизползва тунелиране във втори слой от мрежовия OSI модел, за създаване навиртуална point-to-point връзка между потребителите и мрежата наорганизацията.

Виртуалните частни мрежи позволяват хостове или цели мрежи, да бъдатсигурно свързани през публичните мрежи – в този случай се избягва нуждатаот връзки от вида Point-To-Point или Frame Relay. От гледна точка наразходите, по-изгодно е да има връзка през Интернет (посредством наеталиния, xDSL или кабел), отколкото да се поддържа отдалечена мрежа на дългиразстояния. Ще добавим и факта, че при виртуалните частни мрежи даннитесе пренасят в криптиран вид. Безопасна IP връзка може да бъде създадена вотдалечена extranet мрежа, отдалечен достъп и дори интранет. Когато сеизползва виртуална частна мрежа за такива нужди, би трябвало да се осигурятследните защити:

● криптиране;


● ауторизация;

● автентичност на данните.

Разбира се, виртуалните частни мрежи не са напълно безопасни илибезгрешни – необходимо е безупречно разбиране на този вид технология.

Варианти за свързване към доставчика на интернет:

Обхват на мрежата

● Повечето малки и средни организации избират икономичната ISDN, DSLили кабелна връзка за интернет достъп. Но общите широколентови услугиса по-податливи на проблеми, отколкото наетите линии, защото сувеличаването на броя потребители, намалява общата за всички честотналента. Ако тези системни проблеми са често явление, става лесно за единвъншен кракер да се възползва от ресурсите на такъв тип връзки.

Достъп през мрежата на кабелна телевизия

● Това е широко разпространен метод за домашна връзка. Осигурявазначително по-висока скорост от достъпа по телефонна линия. Кабелнитеоператори и доставчици предлагат тази услуга на жилищни абонати,използвайки кабелен достъп до маршрутизатор с VPN и защитна стена загарантиране на сигурността. Друг вариант е комбинация между шлюз-маршрутизатор и кабелен модем – от това се възползват цели локалнимрежи. Подобно на връзката по цифрова линия (DSL), кабелната връзкаосигурява QoS на глас, данни и видео

Достъп през ISDN линия

● За места с недостъпни цифрови (DSL) и кабелни връзки, се използва ISDNвръзка, която осигурява скорост до 128 kbps до центъра на локалнатамрежа (LAN), на относително ниска цена, получавайки услугите надоставчика. С него се оперира лесно и в зависимост от желаното ниво насигурност може да се използва с или без VPN софтуер. ISDN връзкатасъщо така поддържа едновременна паралелна телефонна линия,осигуряваща високо качество на връзката и трансферирането на данни.

Реализация на виртуална частна мрежа (VPN) върху публична мрежа

Както вече отбелязахме има сериозни причини за използване на VPN услугивърху IP инфраструктура - така наречените IP VPN мрежи. Тeзи мрежинамаляват стойността на услугата за клиента, който няма повече нужда даплаща за наети линии и намаляват усилията за управление на мрежата отстрана на доставчика.


Един начин да се създаде такава мрежа е клиентът просто да маршрутизираданните между различните мрежи, използвайки Интернет. За да се установятчастните връзки между отделните локални мрежи на организацията, сеизползва тунелираща технология като IPSec или L2TP. Цялото конфигуриранесе извършва от потребителя без участието на доставчика на Интернет.

Като алтернатива, съществуват и други технологии, които позволяват надоставчиците да предложат набор от различни IP VPN услуги в тяхната IP/MPLSмрежа. Варианта е изгоден както за клиента, който плащайки на доставчикада се грижи за управлението на VPN-а си, спестява време, така и задоставчика.

Критериите за избор на VPN решение са:

● Тип на VPN-услугата (зависи от типа на трафика и дали са базира наканалния или мрежовия слой на OSI модела);

● Качество на услугата;

● Сигурност;

● Цена на оборудването (примерно дали се налага подмяна насъществуващия хардуер);

● Управление;

● Мащабируемост.

Като цяло решенията за виртуалните частни мрежи се разделят на два типа:

● Изградени от доставчика;

● Изградени от клиента.


VPN-решения изградени от доставчика (само ще ги споменем)

Базирани на каналния слой:

● VPWS (Virtual Private Wire Service)

● VPLS (Virtual Private LAN Service)

● IPLS (IP-only LAN-like Service)

Базирани на мрежовия слой:

● BGP/MPLS VPN (описано в RFC2547)

● Virtual Router Architecture

VPN-решения изградени от клиента

Тези решения всъщност са в духа на традиционните виртуални частни мрежи,основани на предаването на пакети и на наети линии с асинхронен режим напренос. При тях връзката се осъществява като point-to-point свързаност междуотделните мрежи. Аналогично, може да се създаде IP VPN мрежа чрез


установяване на IP тунели между външните машини на офисите. Свойствата навиртуалните частни мрежи, създадени по този начин (качество на услугата,тип на пренасяния трафика и сигурност) са наследени от типа на използванататунелиращата технология. Например, IPsec тунелите осигуряват безопасенначин на тунелиране на IP трафик в мрежовия слой, докато L2TP осигуряваспособ за пренос в каналния слой. Решението, което ще опишем по-подробно, е основано на IPSec тунелиращата технология. Преди да гонаправим, ще се спрем на изграждането на малки и средни мрежи за офиситена организация с делокализирана структура. Сигурността, така както яразбираме, е защита не само на връзките между офисите, но и на самителокални мрежи.

Очаквани Заплахи

Функционалността на всеки мрежов дизайн, особено когато е свързан саспекта сигурност, изцяло зависи от правилното разбиране на евентуалнитезаплахи, които могат да компрометират мрежата. Ето защо е необходимо даги споменем поне принципно.

От гледна точка на сигурността, при малки и средни по големина мрежи,които са свързани с Интернет, заплахите са от вътрешните потребители, коитоимат нужда от комуникация навън и от външни потребители, които се нуждаятот достъп до мрежата. Няколко са общите заплахи, които могат да доведат допървоначално компрометиране на сигурността, необходимо на кракера за по-нататъшно проникване в мрежата.

1. Заплахата от вътрешни потребители.

Макар, че статистика се различава за процентите, установен факт е, чеповечето атаки произхождат от вътрешната мрежа. Недоволни служители,корпоративни шпиони, гости и невнимателни или неумели потребители,всички те са потенциални източници на такива опити за разрушаване назащитата. Когато се проектира защитата, трябва да имаме ясна представаза потенциала на вътрешните заплахи.

2. Заплахата към публично адресируемите хостове, които са свързани сИнтернет. Много вероятно е тези системи да бъдат атакувани, чрезизползване на уязвимости в приложенията и DoS атаки.

Проектиране на малки мрежи

Принципите при изграждането на малки и средни мрежи за офиси, не серазличават съществено. При малките мрежи отделните функции реализиращисигурността, управлението на трафика, достъпа до ресурси и определениуслуги са концентрирани в минимален брой устройства. При средните поголемина мрежи тези функции са разпределени върху повече устройства,което дава по-добра производителност, но рефлектира върху управляемостта


и цената на мрежата. В изложеното по-долу ние ще се спрем на изгражданетона малки мрежи, за да покажем основните идеи, върху които се изграждасигурността.

При проектирането на малки мрежи имаме два модула:

● корпоративен Интернет модул;

Корпоративният Интернет модул има връзки към Интернет и служи затерминиране на виртуалната частна мрежа (VPN) и трафика наобществените услуги (DNS, HTTP, FTP, SMTP).

● модул на вътрешната мрежа.

Вътрешната мрежа съдържа устройствата, осигуряващи превключването вканалния слой, потребителските машини, както управляващите иинтранет сървъри.

Корпоративен Интернет Модул

Този модул осигурява на вътрешните потребители достъп до интернет услугии достъп до информацията на публичните сървъри. Също така осигурява VPNдостъп на дистанционно разположените офиси и дистанционно свързващи сеслужители. Тъй като това е модулът, който осъществява сигурнимеждумрежови (WAN) връзки, ние ще се спрем по-подробно на него.

Ключови устройства на модула:

● SMTP сървър — действа като ретранслатор между външните (интернет) ивътрешни (интранет) пощенски сървъри;

● DNS сървър — служи като упълномощен външен сървър, който препращавътрешните запитвания към интернет;


● FTP/HTTP сървър — осигурява достъп до публичната информация относноорганизацията;

● защитна стена или маршрутизатор на такава — осигурява мрежово нивона защита на ресурсите, пълно филтриране на трафика, и терминиранена VPN за отдалечени сайтове и потребители;

● Превключвател (switch) в каналния слой (с поддръжка на VLAN) —осигурява данните от управляваните устройства да стигат единствено дозащитната стена.

Защита от евентуални атаки

Публично адресируемите сървъри са най-вероятните точки за атаки.Потенциалните атаки и защитите срещу тях са:

● Неразрешен достъп — защитата е чрез филтриране в защитната стена;

● Опити за разрушаване на защита на ниво приложение — защитата е чрезсистеми за откриване на нарушители (HIDS) в обществените сървъри;

● Вируси и троянски коне — защита е чрез вирусно сканиране на ниво хост;

● Опити за атакуване на паролите — защитата е чрез ограничаване науслугите, достъпни за brute-force атаки; операционните системи исистемите за откриване на нарушители (IDS) могат да разкрият тазизаплаха;

● Отказ на услуга (Denial of Service) — защитата е чрез фиксиране наскоростта на достъп при доставчика на Интернет и TCP настройки взащитната стена;


● IP spoofing — защитата от тази атака е филтриране при доставчика наИнтернет трафика, съгласно RFC 1918 и RFC 2827 и използване налокална защитна стена;

● Packet sniffers — за защитата от такива атаки се използваинфраструктура, изградена на превключване на схеми (switchedinfrastructure) и хост-базирани системи за откриване на нарушители(HIDS);

● Network reconnaissance — защитата е чрез използване на системи заоткриване на нарушители (HIDS) и филтриране на протоколи;

● Trust exploitation — използване на рестриктивен модел на доверие и наVLAN's за ограничаване на подобни опити за разрушаване на защитата;

● Port redirection — защитата е чрез използване на рестриктивнофилтриране и/или на хост-базирани системи за откриване нанарушители (HIDS).


Ръководни принципи при проектирането:

Корпоративният интернет модула е проектиран така, че цялата защита и VPNуслуги са концентрирани в една единствена машина. Когато трябва да решимкак да бъде осъществена тази функционална възможност, съществуват двеалтернативи:

1. Да използваме маршрутизатор със защитна стена и VPN функционалнавъзможност.

Този вариант осигурява най-голяма гъвкавост за малките мрежи, тъй катомаршрутизаторът ще поддържа всичките допълнителни услуги (QoS,маршрутизиране, многопротоколна поддръжка, и т. н.), които санеобходими в днешните мрежи;

2. Като алтернатива, може да бъде използвана само защитна стена(dedicated firewall) вместо маршрутизатор.

Този вариант обаче поставя някои ограничения. Първо, защитните стениобикновено са само интернет базирани, изискващи някаквопреобразуване към подходящ WAN протокол. В днешните среди,повечето кабелни и цифрови (DSL) маршрутизатори/модеми са осигурениот доставчика и могат да са използват за връзка със защитна стена презИнтернет. Ако се изисква отдалечена (WAN) свързаност на външнотоустройство (както например, с DS1 схемите от телефонните компании),тогава трябва да бъде използван маршрутизатор. Използването наподобни защитни стени позволява по-лесна конфигурация на защитнитемеханизми и осигурява по-добра защита.

Какъвто и да е изборът на външното устройство, за изследване на трафика въввсички посоки трябва да се използва пълна инспекция (stateful inspection),която ни дава сигурност, че през защитната стена ще преминава самолегитимен трафик. Още по-добре ще бъде, ако още преди това има някаквозащитно филтриране на трафика при доставчика на интернет. Трябва даотбележим, че функцията на маршрутизаторите е да пропускат трафика даминава, докато защитните стени имат функцията да го блокират.

За защита срещу разпределени атаки на отказ от услуга (DDoS) трябвамаршрутизатора на доставчика на интернет да да започне да филтриратрафика, ако той надхвърли някакви предварително определени нива, а зазащита от фалшифициране на адресите (source-spoofing) на локалните мрежии областите с частни адреси, на изхода на маршрутизатора на интернетдоставчика да се извършва и филтриране съгласно RFC 1918 и RFC 2827. Навхода на защитната стена на Интернет модула, първо се извършвафилтриране, съгласно RFC 1918 и RFC 2827 като проверка на филтрирането,осъществено в маршрутизатора на доставчика на интернет. Трафикът отвън


към защитната стена се ограничава до IPSec и необходимия замаршрутизиращите протоколи трафик. Защитната стена осигурява детайлнофилтриране на сесиите, инициирани през нея.

Публично адресируемите сървъри имат някаква защита срещу TCP SYN floodsатаки чрез използването на лимити за наполовина отворени връзки назащитната стена. От гледна точка на защитата, като допълнение къмограничаването на трафика на публичните услуги за определени адреси ипортове, е важно да се осъществява и филтриране в обратна посока.

Ако дадена атака компрометира някои от публичните сървъри, преодолявайкизащитната стена и локалната системата за откриване на нарушители(разположена на самите хостовете), този сървър трябва да бъде бъде лишен отвъзможността да атакува по-нататък мрежата. За предпазване от подобниатаки, се използва специфично филтриране, което предотвратява създаванетона каквито и да било неоторизирани заявки от публичните сървъри къмдругите. Като пример, HTTP сървърът трябва да бъде филтриран така, че да неможе да инициира собствени заявки, а просто да отговоря на заявките наклиенти. Това помага да се предотврати възможността кракерът да качидопълнителни средства на компрометиранта машина след първоначалнатаатака. Също така помага да се спре инициирането на нежелани сесии откракера по време на основната атака.

Такъв пример е атака, която генерира xterm от HTTP сървър през защитнатастена към машината на кракера. В допълнение, VLAN-овете на превключвателяв демилиталиризираната зона (DM) предотвратяват възможносттакомпрометиран публичен сървър да атакува останалите в същия сегмент. Тозитрафик дори няма да бъде разкрит от защитната стена – факт, който показвазащо частните VLANs са критични.

От гледна точка на хостовете, всеки сървър в публичния сегмент има системаза откриване на нарушители (HIDS) за следене срещу всякакви измамнипроцеси на ниво операционна система, както и следене за такива процеси встандартните сървърни приложения (HTTP, FTP, SMTP, и т. н. ). DNS-хостатрябва да е блокиран, така че да отговоря само на желани команди и даелиминира всякакви ненужни отговори, които биха могли да помогнат накракерите в разпознаването на мрежовата конфигурация. Това включвапредотвратяване на зонови трансфери отвсякъде, освен от законнитевторични DNS сървъри. За пощенските услуги, самата защитна стена филтрираSMTP съобщенията в приложния слой (на OSI модела), за да позволи самоопределени команди към пощенския сървър.

Защитните стени и маршрутизатори обикновено имат някои ограниченимрежови възможности за откриване на нарушители (NIDS), вградени въвтехните защитни функции. Те оказват влияние върху производителността наустройството, но осигуряват допълнителна видимост върху евентуален опит за


атака. Ясно е, че в този случай жертваме производителност срещу способностда откриваме атаки. Много опити за пробиване на защитата могат да бъдатспряни без използването на системи за откриване на нарушители, нонаблюдаващата система няма да разбере за започналата атака.

VPN свързаността се осигурява чрез защитна стена или маршрутизатор изащитна стена. Отдалечените мрежи или сайтове се удостоверяват чрезизползване на разменени ключове, а отдалечените потребители – чрез сървъраза достъп.

Алтернативи

Всички промени в гореизложения дизайн ще доведат до увеличаванекапацитета на мрежата или разделяне на различните защитни функции вотделни устройства. Следвайки тази посока, проектирането на малки мреживсе повече ще се доближава до мрежовото проектиране на средноголемимрежи, което на ниво принципи няма да се различава значително отгореизложеното. Една допълнителна стъпка за подобряване дизайна намалката мрежа може да бъде добавянето на типичен VPN концентратор заподобряване управлението на отдалечения достъп, без да се налагапроектиране на по-големи мрежи.

Проектиране на средно големи мрежи

Ще споменем само някои характеристики на този дизайн, за да направимсравнение с проектирането на малки мрежи. При този дизайн имаме тримодула:

● корпоративен интернет модул;

● модул на вътрешната мрежа

● WAN модул.

Както и при проектирането на малки мрежи, корпоративния интернет модулосигурява връзка към Интернет и служи за прекъсване на VPN-трафика итрафика на обществените услуги (DNS, HTTP, FTP, SMTP). Също така там сепрекъсва и трафика по комутируеми линии (Dial-in). Модулът на вътрешнатамрежа съдържа устройства, извършващи превключване между каналния имрежовия слой, между корпоративните потребители, управленческите сървърии интранет сървърите.

От гледна точка на отдалечените мрежи (WAN), има две възможности засвързване на отдалечените сайтове към мрежата:

● използване на частна WAN връзка, използвайки WAN модула;


● използване на IPSec VPN връзка към корпоративния интернет модул.

За нас изборът пада върху вторият вариант, който има определенипредимства. Има няколко причини за избирането на IPSec VPN's вместо частнаWAN връзка.

1. Технологията IPSec VPN върху Интернет може да осигури локаленинтернет достъп на всички отдалечени сайтове, като по този начинспестява честотна лента (респективно пари) в headend-а;

2. в много случай технологията IPSec VPN's осигурява значително по-нискацена от WAN връзката.

Ето защо ще направим кратка характеристика на някои от устройствата вкорпоративния интернет модул, които осигуряват защитата на мрежата ивръзките към нея, тъй като според нас сигурността на самите WAN връзки несе свежда само до един VPN концентратор и използването на IPSec, а доцялостната сигурност на мрежата. Това е и причината да разгледаме начинана изграждане на малки и средни мрежи.


Краен маршрутизатор:

Филтрирането през маршрутизатора е така конфигурирано, че да позволявадостъп на ключове (IKE) и IPSec трафик до VPN концентратора или защитнатастена. Тъй като при отдалечен VPN достъп, IP адреса често не е известен,филтрирането може да е конфигурирано само за VPN концентратора, с койтоотдалечените потребителите установяват връзка. Когато имаме частнавиртуална мрежа (VPN) от тип сайт-към-сайт, IP адреса на отдалечения сайтобикновено е известен и филтрирането на VPN трафика може да бъдеконфигурирано и в двете посоки.

Защитна стена:

Осигурява защита на ресурсите на мрежово ниво и пълно филтриране натрафика; осигурява диференцирана политика на сигурност за отдалеченитепотребители; удостоверява доверените отдалечени сайтове и осигурявасвързаността чрез използването на IPSec тунели.

VPN – концентратор:

Удостоверява индивидуални отдалечени потребители и прекъсва техните IPSecтунели

Отдалеченият достъп и сайта-към-сайт VPN услугите са също критични точки,където може да се осъществят атаки. Ето защо ще споменем очакванитезаплахи:

● Network topology discovery — Контролните списъци за достъп (ACLs) навхода на маршрутизатора ограничават достъпа до VPN концентратора изащитната стена, когато се използва за терминиране на IPSec тунелите ототдалечените сайтове, позволявайки единствено трафик на Internet KeyExchange (IKE) и Encapsulating Security Payload (ESP) от Интернет;

● Password attack — употреба на еднократни пароли (OTP) срещу bruteforce password attacks;

● Unauthorized access — използването на услугите на защитни стени следдекриптиране на пакетите, предотвратяват трафик до неоторизиранипортове;

● Man-in-the-middle attacks — превантивна мярка срещу тази атака екриптиране на трафика;

● Packet sniffers — използването на мрежова инфраструктура, основана напревклюватели ограничава ефективността на подслушването


NIDS — осигурява наблюдение на ключовите сегменти при прехода оттранспортния до приложния слой;

Dial-up сървър — удостоверява индивидуалните отдалечени потребители ипрекратява техните аналогови връзки.

Алтернативи

Възможни са няколко алтернативни дизайна на мрежата. Вместо даосъществяваме основно филтриране в крайния маршрутизатор, може дареализираме пълноценна (stateful) защитна стена на това външно устройство.Възможността да имаме две такива защитни стени осигурява по-голямадълбочина на защитата.

В зависимост от желанието ни за разкриване на атаки, може да използвамемрежова система за откриване на нарушители (NIDS) още преди защитнатастена. С подходящите основни филтри, една такава система извън защитнатастена може да ни осигури алармираща информация, която иначе ще бъдеблокирана от защитната стена.

Тъй като количеството алармираща информация в този сегмент е голямо,системата за индикация би трябвало да има по-ниско ниво на строгост,отколкото подобна система зад защитната стена. С видимостта, която (NIDS)осигурява извън защитната стена, може по-лесно да се оцени типа на атаките,които мрежата ни привлича.

Конфигуриране:

От гледна точка на конфигурирането, когато се използва IPSec VPN технологияза връзка между сайтовете, трафика за управление може спокойно да достигадо устройствата, нуждаещи се от настройки, през самия протокол IPSec. Някоивъншни устройства, например крайния маршрутизатор извън защитната стена,няма да бъдат част от IPSec тунела и ще се наложи да бъде използван другподход за конфигуриране, който би могъл да включва отделен IPSec тунел довъншното устройство или да се разчита на кодиране на ниво приложение(SSH) за конфигурационни промени.

Отдалечен достъп

Тук ще споменем възможностите за достъп на отдалечени потребители докорпоративната мрежа, като някои от решенията важат в пълна сила и замалки офиси (върху тях пада и акцента в нашата тема). Има четири варианта:

● Software access — отдалечен потребител, работещ със софтуерен VPNклиент и лична защитна стена;


● Remote-site firewall option — отдалеченият сайт е защитен със защитнастена, осигуряваща защита и IPSec VPN свързаност до главния офис;междумрежовата (WAN) свързаност е осигурена през широколентововъншно устройство (например DSL или кабелен модем).

● Hardware VPN client option — отдалеченият сайт използва хардуерен VPNклиент, който осигурява IPSec VPN свързаност към главния офис;междумрежовата (WAN) свързаност е осигурена през ISP широколентововъншно устройство.

● Remote-site router option — отдалеченият сайт използва маршрутизатор,който осигурява едновременно защитна стена и IPSec VPN свързаност къмглавния офис. Този маршрутизатор може да осигури както директеншироколентов достъп, така и достъп през ISP широколентово външноустройство.

Ще обърнем внимание на две от решенията, като първото се отнася изцяло заотдалечени потребители, а второто може да се използва като решение залокален или малък офис (върху което всъщност пада нашия избор).


Достъп чрез софтуерен продукт

Този вариант е насочен към мобилния работник и работещия в къщи служител.Всичко, от което се нуждае потребителят, е машина с VPN клиентски софтуер ивръзка към Интернет или ISP мрежа през комутируема или Етернет връзка.Първичната функция на VPN софтуерния клиент е да установи сигурен,криптиран тунел от клиентското външно устройство до VPN headendустройството.

Достъпът и удостоверяването на потребителя се контролират от главния офис.Потребителят първо се удостоверява и след това получава IP настройките(виртуален IP адрес, който се използува за целия VPN трафик и адресите насървърите за имена (DNS and Windows Internet Name Service [WINS])). Забезопасно проектиране се забранява разделяне на тунелирането, защото тоосигурява на отдалечените потребители достъп към Интернет презкорпоративната мрежа, едва след като се изгради VPN тунел. Тъй катопотребителят, ползващ отдалечен достъп, не винаги има нужда от VPN тунелза да установи връзка към Интернет или мрежата на доставчика на Интернет,необходимо е инсталирането на лична защитна стена на клиентската машина,която да блокира неоторизирания достъп до машината. За защита от вируси итроянски коне е препоръчително инсталирането и на програми за защита отвируси и троянски коне.

Достъп на отдалечен сайт

Тази възможност е предназначена за работещи в къщите си служители и замалки офиси. При нея се очаква, отдалечената локална мрежа или сайт да иманякаква форма на широлентов достъп до Интернет, осигурен от доставчик.Защитната стена е инсталирана зад DSL или кабелния модем, като нейнатаосновна функция е да установи безопасен, криптиран тунел между себе си иVPN headend устройството, както и детайлно филтриране на трафика.

Индивидуалните хостове в мрежата на отдалечения сайт не се нуждаят от VPNклиентски софтуер, за да имат достъп до корпоративните ресурси.

В допълнение, тъй като пълноценната защитна стена защитава достъпа доИнтернет, не е необходимо инсталирането на защитни стени наиндивидуалните хостове от мрежата. Все пак, ако искаме по-високо ниво насигурност, може да инсталираме такива защитни стени и на потребителскитемашини. Това е полезно, когато служителя пътува и се връзва към Интернетпрез някоя публична мрежа.

Тъй като имаме пълноценна защитна стена, която защитава хостовете, ако несе използва маскиране (NAT) при комуникацията с главния офис, отдалечениятсайт може да има директен достъп до Интернет, без да прекарва целиятрафик през главния офис, стига IP адресите на устройствата на отдалечената


межа да са зададени по такъв начин, че да не застъпват адреснотопространство на главния офис или друга отдалечена мрежа или сайт.

Устройствата, които изискват директен достъп до Интернет, ще се нуждаят оттранслация към регистрирани адреси. Това може да бъде постигнато чрезпреобразуване на всички Интернет обвързани сесии към публичния IP адрес насамата защитна стена.

Достъпът и удостоверяването в корпоративната мрежа и Интернет сеуправляват чрез конфигуриране, както на защитната стена на отдалеченатамрежа, така и на VPN headend-устройството. Конфигурацията и управлениетона сигурността на защитната стена на отдалечената мрежа може да сеосъществи през IPSec тунел. Този вариант ни осигурява отпадането нанеобходимостта потребителите в отдалечената мрежа сами да конфигуриратзащитната си стена.

IPSec Реализация

Както вече споменахме, изборът ни на решение за сигурни връзки междуофиси е използването на IPSec VPN. Причините са няколко – висока степен насигурност (IPSec използва Triple Data Encryption Standard (3DES) за криптиранеи secure hash аlgorithm/hash-based message authentication code (SHA/HMAC)за цялостност на данните.), лесно конфигуриране, хардуерна независимост,независимост от вида на използваната операционна система, множествоприложения, ниска себестойност и факта, че бъдещето на Интренет сеосновава върху този протокол (IPsec е незадължителен за текущия (версия 4)Интернет протокол, но в реализациите на IP версия 6 е задължително давключат IPsec.).

Визията ни за бъдещето на Интернет е PS-базирани “кутии”, които “седят”между локалната мрежа и Интернет и избираемо криптират пакетите. Всекипът, когато комуникираме с машина (примерно Web сайт), която не поддържакриптиране, трафикът ни излиза в "чист" вид както обикновено. Всеки път,когато се свързваме с машина, която поддържа криптиране, тя автоматичнокриптира всичките ни пакети, и декодира тези, които идват. В действителност,всеки пакет бива поставян в "плик" в единия край на мрежата, и изваждан от"плика", когато достигне другия край. Това работи върху всякакъв видинтернет трафик, включително HTTP, FTP, Telnet, email, IRC, Usenet, и т. н.

В случая криптиращите кутии са стандартни компютри, които използватсвободно наличния свободен софтуер, който може да бъде намерен вИнтернет. Една организация, която иска да защити трафика си всъщност сенуждае от компютър с две Етернет карти и инсталиран Linux, който ще севключи към Етернет мрежата и Интернет (или защитната стена). Това е всичко,което е необходимо за криптиране на целия трафик извън локалната симрежа.


Естествено мрежата в офиса може се състои и от други устройства, които даповишават степента на сигурност на самата мрежа, но основната идея засигурни връзки е всъщност използването на IPSec на определена машина, билото чрез прилагане в самата операционната система или чрез допълнителнисофтуерни продукти.

В следващите страници ще покажем една реализация на Ipsec за Linux,наречена FreeS/WAN (S/WAN означава Secure Wide Area Network, докато Freeобозначава принадлежността на тази реализация към отворения софтуер). Щестане дума и за и други IPSec приложения, някои от които чисто комерсиални.

IPsec, Защита за Интернет протокола

FreeS/WAN е Linux реализация на IPsec протоколите за защита. IPsec осигурявакодиране и удостоверяване на ниво IP протокол.

Работейки на това ниво, IPsec може да защити който и да било трафик,пренесен от IP протокола, за разлика от други криптирания, които обикновенозащитават само точно определени, от по-високо ниво, протоколи - PGP запоща, SSH за дистанционен вход, SSL за работа през web, и така нататък. Тозиподход има както значителни преимущества, така и някои ограничения.

IPsec може бъде използван на която и да било машина, която работи в мрежа сIP протокол. Където е необходимо трафикът да бъде защитаван, може да сеинсталира и IPSec шлюз. IPsec може да се стартира на маршрутизатори, намашини със защитни стени, на различни приложни сървъри, на настолнатасистема на крайния потребител или на лаптоп.

Протоколи

При IPSec се използват три протокола:

● АХ (Authentication Header) осигурява удостоверяване на ниво пакети;

● ESP (Encapsulating Security Payload) осигурява кодиране плюсудостоверяване;

● IKE (Internet Key Exchange) договаря параметрите на връзката,включително ключовете за другите два протокола.

Реализацията има три основни части:

● KLIPS (KerneL IPSec) – осъществява AH, ESP и обработка на пакета в ядрото;

● Pluto (IKE daemon) - осъществява IKE, договаряйки връзките с другитесистеми;


● Различни макроси, осигуряващи интерфейс на администратора намашините.

FreeS/WAN допълва IPsec в Linux IPv4 мрежовия стек, като работата поинтегриране на FreeS/WAN в Linux IPv6 стека вече е в напреднал стадий.

Приложения на IPsec:

Тъй като IPsec работи на мрежовото ниво, той е забележително гъвкав и можеда бъде използван да обезпечи който и да е тип на интернет трафик. Широкоразпространени са две приложения:

● виртуална Частна мрежа, или VPN, позволяваща множество възли дакомуникират надеждно през несигурния интернет, криптирайки всякавръзка между сайтовете;

● "Road Warriors" – те се свързват с офиса от дома си или от хотел.

FreeS/WAN поддържа и двата типа приложения, но също така добавя ощеедна възможност:

● своевремено кодиране – възможността да се настройват FreeS/WANшлюзовете така, че които и два от тях да могат да криптират един къмдруг.

Това е разширение, което FreeS/WAN добавя към IPSec протоколите.

Използването на сигурни тунели за създаването на VPN

VPN или Виртуалната частна мрежа позволява две отдалечени локални мрежида установят връзка надеждно, когато единствената връзка между тях е презтрета мрежа, на която те нямат доверие.

Методът се състои в поставянето на сигурна входна машина (gateway) междувсяка от установяващите връзка мрежи и несигурната мрежа. Входнитемашини криптират влизането на пакетите в несигурната мрежа и декодиратизлизащите от нея пакети, създавайки безопасен тунел през нея.

Ако криптографията е силна, реализацията – внимателна и управлението навходните машини е компетентно, в такъв случай може да се доверим назащитата на тунела. Двете мрежи в такъв случай се държат като еднаединствена голяма частна мрежа, чийто връзки са криптирани тунели презнесигурната мрежа.

Всъщност тези частни мрежи често са по-комплексни. Една организация можеда има петдесет офиса, плюс някои доставчици и клиенти, с които има нуждада установи връзка надеждно. Друга би могла да има 5000 офиса или 50000различни възли. Тогава не е нужно несигурната мрежа да бъде Интернет.


Същите проблеми възникват и в корпоративна или институционална мрежавсеки път, когато два отдела искат да установят частна връзка един с друг.

Road Warriors

Типичният "Пътен Воин" е пътник, който се свързва с домашната иликорпоративна машина от преносим компютър. Същите административнипроблеми възникват и за служител, свързващ се от дома си с офиса, когатотой няма статичен IP адрес. Това до известна степен изисква различнанастройка от настройката за VPN шлюз със статичен адрес и с клиентскитесистеми зад тях, но принципно не е проблем да се реализира.

При осъществяването на такива връзки съществуват следните трудности:

● Road Wariors, който получава адреси през DHCP могат да имат следнияпроблем – FreeS/WAN реализацията може да създаде и да използва тунелдо такъв адрес, но когато наема на DHCP-то изтече, FreeS/WAN не узнаваза това. Тогава тунелът отказва и за неговото възстановяване, той трябвада се прекъсне и повторно да се създаде .

● Ако се използва маскиране (NAT – преобразуване на мрежовия адрес)между два IPsec шлюза, това води до прекъсване работата на Ipsecпротокола, тъй като той удостоверява пакетите от край до край, за да есигурен, че не са променени по пътя, а маскирането променя пакетите,когато минават през него.

Подходящо криптиране (Opportunistic encryption)

Това означава, че два FreeS/WAN шлюза са способни да криптират трафикапомежду си, даже и ако администраторите на машините не са ималипредварителен контакт и никоя от система няма зададена информацияотносно другата. Това криптиране позволява да се създават IPsec тунели безсъгласуване с администратора на другия сайт и без ръчно конфигуриране навсеки тунел. И двете системи взимат необходимата им информация от DNS-а,който вече използват за намиране на IP адреси. Естествено, администраторитетрябва да поставят тази информация в DNS-а и трябва да разрешат на технитешлюзове да извършват такова криптиране. Веднъж вече направено, след товавсичко протича автоматично. Шлюзовете търсят възможности да криптират икриптират всичко, което те могат. Дали да приемат и некриптирани връзки естратегия, която се избира от администратора.

Подходящото криптиране дава следните предимства:

● Извънредно много намалява административната работа върху Ipsec. Виеконфигурирате вашият шлюз и след това всичко е автоматично. Нуждатада се конфигурира системата за всеки тунел изчезва. Разбира се,


FreeS/WAN позволява специално конфигурирани тунели да съществуватедновременно със своевременното криптиране.

● Това ни приближва към по безопасен Интернет, позволявайки напотребители да създадат среда, където секретността на съобщението епо подразбиране. Всички съобщения могат да са криптирани, стигадругият край да има желание да сътрудничи.

Трябва да се знае и да се има предвид, че подходящото криптиране не естандартна част от IPsec протоколите.

Изисквания

За да се настрои криптирането е нужно:

● компютър с инсталиранa Gnu/Linux операционна система. За използванена криптиране към публичен Интернет, тази машина не трябва да стоизад маскиране т.е да не се извършва Преобразуване на Мрежовите адреси(NAT);

● да има инсталиран Linux FreeS/WAN 2.02;

● да се извършва контрол над вашия reverse DNS или да има възможност дасе пише до някой forward domain;

● статичен IP адрес.

Групова политика

Обяснена с няколко думи, груповата политика се състои в следното:

● Тези са хората, с които аз искам да комуникирам в чист текст.

● Тези са spammers' домейни -- Аз не искам да комуникирам с тях ни най-малко.

● За да комуникирам с отдела по финанси, аз трябва да използувам IPsec.

● За която и да е друга връзка, опитайте се да криптирате, но нямапроблем, ако не става.

FreeS/WAN прилага тези политики, създавайки криптирани връзки тогава исамо тогава, когато е нужно.

Нужда от удостоверяване на шлюзовете

Усложнението, което се отнася към който и да било тип на връзка -- VPN,Road Warrior или opportunistic -- е, че сигурната връзка не може да бъдесъздадена магически. Трябва да има механизъм, който да позволява на


шлюзовете надеждно да се идентифицират един друг. Без такъв механизъм,те не могат да се доверят един на друг и не могат да създадат истинскибезопасна връзка.

Каквато и връзка да създадат, когато липсва форма за удостоверяване,връзката винаги ще бъде уязвима за атаки от типа man-in-the-middle. АкоЖоро и Иван са хората, създаващи връзката, кракерът, който може дапреадресира или прехваща пакетите, може да се представи като Жоро, докатоговори с Иван и като Иван, докато говори с Жоро. Тогава Жоро и Иван говорятна мъжа в средата, мислейки че говорят един на друг, а негодникът получававсичко, изпратено на лъжливата "сигурна" връзка.

Има два начина на създаване на надеждни връзки, като и двата изключвататака от типа man-in-the middle:

● Когато Жоро и Иван си разменят таен ключ (който се предава по сигуренначин, примерно чрез PGP или SSH) за да криптират съобщенията си. ПриFreeS/WAN, такива ключове се съхраняват в ipsec.conf файла. Разбира се,ако неприятелят получи ключа, всичко е изгубено.

● Автоматично - когато двете системи се удостоверяват взаимно идоговарят собствени тайни ключове. Ключовете от своя стана периодичносе сменят.

Вариантът, при който удостоверяването става автоматично е по-сигурен,защото неприятелят ще може да чете съобщенията само между две смени наключа. Ето защо този вариант се използва по подразбиране при болшинствотоIPsec реализации. FreeS/WAN поддържа ръчна размяна на ключове заспециални случаи.

За автоматичната размяна на ключове, двете системи трябва да се удостоверятедна друга при договарянето. Методи за това са:

● Удостоверяването се осигурява от обща тайна. Ако Жоро и Иван саединствените, които знаят тайната и Жоро получи съобщение, което не бимогло да е създадено без тази тайна, в такъв случай Жоро може спокойнода повярва, че съобщението е написано от Иван;

● Удостовеяването може да се осигури и от публичен ключ. Ако Жорополучи съобщение, подписано с частния ключ на Иван (който разбира сесамо той би трябвало да знае) и той има надеждно копие на неговияобществен ключ (така, че може да провери подписа), в такъв случай Жороможе приеме, че съобщението наистина произхожда от Иван.

Вариантът с обществените ключове е за предпочитане.


Преимущества на варианта с обществени ключове

Удостоверяването с обществен ключ като например RSA има някои важнипреимущества пред използването на общи тайни.

● никакъв проблем с безопасното предаване на тайни

● Общата тайна трябва да е обща, ето защо вие имате задачата запредаването й надеждно на другата страна. Ако вие извършвате товапогрешно, вие нямате защита.

● Използвайки public key, вие предавате само вашия обществен ключ.Системата е проектирана да осигури това да няма значение далинеприятелят получава ключа ни. Частният ключ никога не напускавашата машина.

● по-лесно управление

● Да предположим, че вие имате 20 офиса всичките свързани с единgateway в главния офис, и всички използват споделена тайна. Тогаваадминистраторът на главния офис има да управлява 20 тайни. Всяка оттях трябва да се съхранява тайно не само от външни потребители, носъщо така от 19-те администратори на филиалите.

Ако офисите имат нужда всеки да комуникира един с друг, тогава ставапроблематично. Вие се нуждаете от други 20*19/2 = 190 тайни зафилиал-към-филиал връзка, всяка позната на точно два клона. Сегавсички администратори на филиалите ще имат главоболие отобработката на 20 ключа, всеки споделен с точно един филиал или сглавния офис.

За голям брой клонове броят на връзките и тайните се увеличаваквадратично и управлението им се превръща в кошмар. Една 1000-gateway напълносвързаната мрежа се нуждае от 499,500 тайни, всякапозната на точно двама играчи.

● При използване на public key, единственото нещо, което трябва да сенаправи е да се пази тайната на собствения частен ключ.

С нарастване на мрежата, броят на публичните използваните ключовесе увеличава линейно с броя на възлите. Това също изисква внимателнаадминистрация при големи приложения, но е нищо в сравнение сбедствието на квадратното увеличаване. На 1000-gateway мрежа, виеимате 1000 частни ключа, всеки от които трябва да се съхранявасигурно на машината , и 1000 публични ключа, които серазпространяват. Това не е тривиален проблем, но поне е управляем.


● не изисква фиксирани IP адреси

● Когато са използвани споделени тайни в IPsec, този който отговаря назаявката трябва да е способен да прецени коя тайна да употреби,гледайки IP адреса на постъпващите пакети. Когато другите участницинямат фиксиран IP адрес за да бъдат идентифицирани (например, напочти всички dialup ISP връзки и много кабелни или ADSL връзки), товане работи добре -- всички трябва да споделят еднаква тайна!

● Когато RSA автентикацията е в употреба, инициаторът може даидентифицира себе си по име преди ключа да бъде определен. Този,който отговаря на заявката тогава проверява дали съобщението еподписано с обществения ключ на това име.

Недостатъци на варианта с обществени ключове

● вашият частен ключ е единствена точка на опит за разрушаване назащитата, извънредно ценен за неприятеля

● при използване на обща тайна за удостоверяване, атакуващ, койтооткрадне вашия файл ipsec.secrets може да се представи за вас или даопита атака от типа man-in-the-middle, но може да атакува самовръзките, указани в този файл.

● при изпозлване на обществен ключ за удостоверяване, атакуващ, койтооткрадне вашия частен ключ получава шанса да атакува не самосъществуващи връзки, но и да всякакви бъдещи връзки, създадени чрезизползване на този ключ.

Като цяло обаче, методът с използване на обществен ключ е по-безопасен,по-управляем и по-гъвкав.

Обобщение на методите за автоматична автентикация при FreeS/WAN:

FreeS/WAN използва протокола за обмяна на ключове през Интернет (IKEпротокол), който пък демонът Pluto от своя страна използва за да договоривръзките между шлюзовете. За да се осъществи това, обаче е нужна някакваформа на удостоверяване. Един шлюз трябва да знае с кого говори преди дасъздаде безопасна връзка. FreeS/WAN поддържа два основни метода заудостоверяване:

● общи тайни, съхранявани във файла ipsec.secrets

● RSA удостоверяване

Има, няколко вариации на тема RSA, използвани за различни методи науправление на RSA ключовете:


● нашият RSA частен ключ e във файла ipsec.secrets с публичнитеключове на другите шлюзове, също така съхранени в ipsec.conf илинамерени чрез DNS

● удостоверяване с x.509 сертификати;

Поставянето на публични ключове в сървърите за имена (DNS) ни позволява даподдържаме подходящо криптиране. Всеки два FreeS/WAN шлюза могат даосъществяват безопасна връзка помежду си, без който и да е от тях да имазададена информация относно другия.

За свързването на FreeS/WAN към различни PKIs може да са необходими X.509сертификати.

Хетерогенност

Какво ще се случи, ако имаме различни операционни системи на машините,реализиращи виртуалната частна мрежа? Възможно ли е такова решение?

Първото нещо, което трябва да решим е дали ще се свързваме с VPNs, коитоне са контролирани от нас. При условие, че ще се свързваме с устройства,върху което нямаме никакъв контрол, тогава е най-добре да изберем VPN-решение, което има стандарти, основани на максимална способност завзаимодействие с други реализации на IPSec. Това всъщност се нарича стермина хетерогенност. FreeS/WAN е добър избор за хетерогенност. IPSec еиндустриален стандарт за кодиране на трафик и има множество реализации,осъществени от различни производители. Макар, че някой от реализациитеимат само частична поддръжка на някои от неговите възможности, обикновеное възможно и двете страни на виртуалната частна мрежа да са конфигурирани,така че да използуват набор от общи характеристики.

FreeS/WAN не използва 56-битов DES ключ за кодиране – той поддържаединствено 168-bit DES ключове. Макар, че това е направено отразработчиците за осигуряване на по-голяма сигурност, този факт може дасъздаде проблеми в съвместимостта с други реализации на IPSsec.

За щастие, болшинство производители предлагат реализации на IPSec, коитовключват поддръжка на тройния DES метод за криптиране. В крайна сметкапроблема със съвместната работа на различни реализации на IPSec се свеждадо въпроса: “Аз ще се нуждая ли някога да общувам с VPN реализации не подмоето управление”? Ако отговорът е “да”, тогава трябва да се придържаме къмстандартни решения. Ако отговорът е “не”, тогава въпроса за съвместимосттастава безсмислен.


Други реализации на IPSec

Нека споменем някои други реализации на IPSec и възможността те давзаимодействат с FreeS/WAN.

● KAME Project – реализация на IPSec за BSD (включва IPv6, IPsec (за и IPv4 иIPv6) и модерни мрежови технологии като advanced packet queuing, ATM,mobility и други). Има го и като комерсиален продукт – BSDI;

● PGPNet/McAfee или така наречения McAfee VPN Client;

● Реализация за Microsoft Windows 2000/XP - IPsec e включен в Win2k и в XPПомощните програми (може да изисква High Encryption Pack и ServicePack 1). Вариантът с Road Warrior-а работи и в двете посоки. Windows (XPили 2K) IPsec може да се свърже като Road Warrior към FreeS/WAN, кактои FreeS/WAN може да се свърже успешно към Windows IPsec;

● SSH Sentinel;

● Safenet SoftPK/SoftRemote – евтин Windows клиент;

● Check Point VPN-1 или FW-1;

● Cisco реализация – има някои проблеми при съвместимостта;

● Netscreen 100 или 5xp;

● Raptor (NT или Solaris) – известен като Symantec Enterprise Firewall;

● Sun Solaris - Solaris 8+ има вътрешна (в ядрото) IPsec реализация.


Съвместимост на други реализации на IPSec с FreeS/WAN (в табличен вид)

Реализации на IPSec

FreeS/WAN VPN RoadWarrior OE

Pre-Shared

KeyRSA

Secret X.509NAT-Traver

salManualKeying

FreeS/WAN ДА ДА ДА ДА ДА ДА ДА

Kame (FreeBSD,NetBSD,MacOSX) ДА ДА ДА ДА НЕ

McAfee VPN (PGPNet ) ДА ДА ДА ДА НЕ

Microsoft Windows2000/XP ДА ДА ДА НЕ

SSH Sentinel ДА ДА Можеби ДА НЕ

Cisco with 3DES ДА Можеби Може

би НЕ

Check Point FW-1/VPN-1 ДА ДА ДА НЕ

Raptor ДА ДА НЕ

Sun Solaris ДА ДА ДА НЕ

За да бъде способен да договори връзка с Linux, Windows 2000 трябва да бъде"усилен", тъй като той поддържа единствено обикновен DES като криптиращалгоритъм. FreeS/WAN приема този алгоритъм за несигурен, както и многодруги разработчици, така че Linux ще отхвърли всяка заявка, която госъдържа. Така, че общия кодиращ алгоритъм трябва да бъде 3DES."Усилването" на Windows 2000 става чрез High Encryption Pac.

Като заключение може да споменем проведен тест от CriptoLab ResearchGroup, където се вижда, че съвместимостта между Windows 2000, PGPNet 7.0 иFreeS/WAN е напълно възможна. Ключовият момент в случая са сертификатитеи частните ключове, които сертификатите ползват за подписване.


Сравнение между топологиите звезда и граф

Нека да разгледаме двете топологии и техните предимства и недостатъци.

Топология Звезда

При тази топология имаме VPN връзка от всеки отдалечен възел към главния.VPN устройството там трябва да е способно да поддържа n на брой VPNвръзки, където n е броя на отдалечените възли. Всеки от тях, който иска дакомуникира сигурно трябва да прекара трафика си през VPN устройството вценттралния възел. Основното преимущество на този модел е, че добавянетона нови възли към мрежата е лесно, защото цялото конфигуриране сеизвършва в централния възел. Неудобства са следните:

● Има единствена точка на провал. Ако устройството в центъра откаже,всичките останали клонове спират да комуникират.

● Ако устройството в центъра изпитва затруднения това се усеща из целияVPN трафик.

● Два офиса, които могат да бъдат географски близо, им се налага прикомуникация помежду си прекарват трафика през главния офис.

Повечето от неудобствата обаче може да се отстранят чрез добавяне наустройства в централния възел, които да си разпределят трафика помежду си.

Топология Граф

Отново, този VPN модел има няколко преимущества и един основеннедостатък.

Преимуществата са следните:

● Няма повече единствена точка на провал. Възлите в мрежата не разчитатна централния възел за осигуряване на VPN свързаност. При възникванена проблем в мрежата, спира да работии само част от нея, но не и цялата;

● Общата производителност не зависи само от производителността на еднасистема;

● Географски близките възли може да установяват връзка непосредственопомежду си.

Недостатък е увеличеното обслужване. Когато добавяме нов възел, ние трябвада го конфигурираме за връзки с всички останали, както и да конфигурирамеостаналите възли за връзка с него.


Макар, че тази топология има само един недостатък, той се оказва наистинасериозен. Вместо управление на ключовете на централния възел, сега сеналага да ги управляваме на всеки възел.

Това решение е добро за малкомащабна виртуална частна мрежа, но снарастването и, усилията за поддръжката й биха станали ужасяващи. Припълна свързаност на N възела в мрежата, броят на необходимите тунели е отпорядъка на N2.

И при двете топологии се вижда, че включването на нов възел изисква многоработа. И двете топологии се нуждаят от ефективен начин за сигурна обмянана ключове. Вместо да се поставят ключовете на всеки сървър, някои от VPN-решенията осъществяват получаването на ключовете чрез централизиранизточник (нека си спомним "opportunistic encryption" при "FreeS/WAN").Другият проблем, който може да се появи е при маршрутизирането. Трябва дасме способни да разпространяваме автоматично маршрутизиращатаинформация (примерно чрез пускане на общ IGP маршрутизиращ протокол -RIP или OSPF) или да преминем към ръчно въвеждане на маршрутите.

Използването на защитни стени

Поставяне на защитна стена

Строго се препоръчва използването на защитна стена в защитнатаинфраструктура. Но използването на виртуална частна мрежа със защитнасреда поражда няколко проблема. Възможни са следните варианти, с технитепредимства и недостатъци:


VPN сървър на защитна стена

Тук виртуалната мрежа VPN е като допълнение към защитната стена. Тазиконфигурация има следните цели:

● защитната стена позволява достъп навън към Интернет;

● защитната стена не допуска външен достъп до локалната мрежа отИнтернет;

● VPN услугата криптира трафика до отдалечени клиенти на мрежата;

Предимствата за инсталиране на VPN със защитна стена са:

● контрола и управлението на сигурността на мрежата се извършват отедно място;

● може да създаваме правила за защитната стена, които да прилагаме къмтрафика от виртуалната частна мрежа, използвайки същите средства,които използваме за управление на самата защитна стена.

Недостатъци:

● основният недостатък тук е свързан с първото предимство на този видконфигурация. Налице е едно единствено място, от което се контролирацялата сигурност на системата. Следователно тази машина, сама по себеси, трябва да е изключително сигурна;


● внимателно трябва да се конфигурира маршрутизирането, така четрафикът да преминава през подходящите интерфейси;

● неправилното конфигуриране на правилата на защитната стена би моглода позволи трафик от Интернет да проникне в мрежата чрез използванена VPN адреси;

● необходима е мощна машина, поради “глада” за ресурси от страна наИнтернет и VPN трафика.

VPN сървър, паралелно инсталиран със защитна стена

Вътрешните машини пак ще сочат към защитната стена като маршрут поподразбиране. Тук защитната стена ще има маршрут към VPN-достъпнитемрежи чрез VPN сървър и ще информира клиентите да изпращат пакети къмтази машина, когато е необходимо.

Предимствата са:

● VPN трафика няма да минава през защитната стена, следователно не енужна допълнителна настройка на нея за поддръжка на VPN пакети. Тъйкато някои VPN протоколи не се поддържат от всички защитни стени, товаможе да бъде единствената възможност;


● лесно се преконфигурира при разрастване на мрежата. Ако видим, че VPNсървъра е значително натоварен, може да добавим други машини, коитода разпределят VPN-връзките помежду си.

Недостатъци

● VPN сървъра директно е свързан към Интернет – необходимо е да сменапълно сигурни, че е защитен;

● Машините, които комуникират с Интернет вече са две – трябва да сменапълно сигурни в правилната им конфигурация, която трябва да допускаединствено легитимен трафик;

● Финансово по-тежък вариант, поради наличието на втори сървър и по-голям обслужващ персонал.

VPN сървър, инсталиран зад защитна стена

Друго положение на VPN сървъра е зад защитната стена – така той изцяло сенамира във вътрешната мрежа и не е директно достъпен през Интернет.Всички пакети, изпратени от него и насочени към него ще трябва да преминатпрез защитната стена.

Предимствата тук са следните:

● VPN е напълно защитен от Интернет от защитната стена;

● има само една машина, контролираща достъпа към и от Интернет;

● ограниченията към VPN трафика са концентрирани във VPN сървъра,което прави писането на правила по-лесно.

Недостатъците са:

● всичкия VPN трафик преминава през защитната стена – регистрира сеизвестно забавяне;

● защитната стена ще трябва да пропуска VPN трафика от Интернет къмVPN директно. Поради факта, че тя не може да инспектира този трафик(все пак той е криптиран) се налага използването на прост пакетен списъкза достъп (ACL) или приложно proxy.

● рисковано е криптираният VPN трафик да преминава през защитнатастена, поради факта, че някои защитни стени не “знаят” какво да правят сIP протоколите, различни от ICMP, TCP и UDP. Това означава, че ще бъденевъзможно да се поддържа виртуална частна мрежа, използващаразлични IP протоколи, като ESP пакети за IPSec или GRE пакети заPPTPVPNs.


● Целия VPN трафик преминава през един и същ LAN кабел два пъти –веднъж от клиента към VPN сървъра в оригинален вид и втори път от VPNкъм защитната стена в криптиран вид. Това може да снижи ефективносттаи безупречната работа на LAN.

Накрая ще споменем някои Firewall-дистрибуции, които включват иFreeS/WAN:

● Linux Router Project;

● LEAF firewall;

● Dachstein;

● Gibraltar (базиран на Debian GNU/Linux);

● Astaro Security Linux;

● Linuxwall;

● Smoothwall;

● Devil Linux;

● Coyote Linux etc.


Използвани материали :

Връзки:

1. http://www.freeswan.org/

2. http://www.kame.net/

3. http://www.buildinglinuxvpns.net/

4. http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.htm

5. http://www.cisco.com/go/safe/

6. http://www.cisco.com/warp/public/779/smbiz/iroadmap/us/en/sitewide_as sets/docs/wo_tech.pdf

7. http://www.dataconnection.com/

Книги:

1. "Building Linux Virtual Private Networks"- Oleg Kolesnikov and Brian Hatch

2. "IPSec: the new security standard for the Internet, intranets, and virtualprivate networks"-Naganand Doraswamy, Dan Harkins.

3. "MISSION CRITICAL!INTERNET SECURITY" - Bradley Dunsmore,Jeffrey W.Brown,Michael Cross

Документи:

1. "Windows 2000, Linux FreeS/WAN and PGPNet interoperatibility usingx509v3 certificates" - CriptoLab Research Group

2. "VPN TECHNOLOGIES - A COMPARISON" - Jon Harrison

3. "Remote Access VPN Solutions" - Check Point Software Technologies Ltd.

Documents

ТЕМА: Offices (WAN) - iseca.orgiseca.org/downloads/2003_2004-1/papers/M21297_M... · отдалечена extranet мрежа, отдалечен достъп и дори интранет