Таня Шамятова представя - Виртуални частни мрежи и тяхната защита

1. Виртуални Частни Мрежи Безопастност и защита Таня Шаматанова 7 курс, Ф. No 2191 ИУ ВАРНА

2. Какво е VPN През последните десетилетия светът се е променил много. Много организации, вместо да работят само с местни компании сега трябва да мислят по глобално.Много от тях са се разпространили по цялата страна или по света, и се нуждаят от бързи, сигурни и надеждни комуникации. Изграждането на виртуални частни мрежи е ефективно решение за бизнес клиенти и интернет доставчици с две или повече локации, които се нуждаят от надеждно дистанционно свързване на множество точки във вътрешна локална мрежа.

3. Видове VPN

4. VPN приложение С VPN мрежи може да се осигури защитеност на обменяната информация между оторизираните лица с достъп до мрежата. Виртуалните частни мрежи представляват сигурни връзки от типа point-to-point между компютъра на даден потребител и сървъра на компанията – клиент. Те позволяват запазване на конфиденциалния характер на изпращаната информация чрез публична среда - интернет. VPN връзките позволяват на потребителите да си работят от вкъщи или на път, да сесвързват по сигурен начин към отдалечен сървър, използвайки маршрутизиращатаинфраструктура осигурена от публична мрежа (като Интернет).

5. Предимсвата на една VPN мрежа: Разширява географския обхват Подобрява сигурноста Редуцира разходите в сравнение с традиционната WAN Редуцира разходите за транспорт на отдаличените юзъри Подобрява продуктивноста Опростена мрежова топология Осигурява глобалнимрежови възможности Осигурява телекомуникационна поддръжка Осигурява по бързо връщане на инвестициите от традиционната WAN

6. З ащита на информацията: VPN се нуждае от следните 4 функции за да осигури силна защита на информацията: Authentication – доказване произхода на информацията Access control – ограничаване на достъпа на неауторизираните потребители Confidentiality – не всеки има право да чете или копира информация докато сърфира в Интернет Data integrity – никой не може да променя информацията при сърфирането си в Интернет

7. VPN компоненти

8. Дялове на VPN

9. метода за сигурност Защитна стена - FireWall Криптиране IPSec AAA сървър

10. Firewall Представлява бариера между Интернет и локалната мрежа. Може да се настрои защитната стена да контролира номерата на отворените портове, типа на пакетите и протоколите, които минават през нея. VPN се считат за изключително сигурни, независимо от използването на публични мрежи. С цел да се удостовери идентичността на потребителите на VPN се изисква наличието на firewall. Докато в миналото firewall-ите са били главен източник на главоболия за мрежовите администратори, новите поколения firewall-и са много по-прости за създаване и поддържане. В сегашно време има голямо разнообразие от безпроблемни, пакетирани устройства, които пазят нежеланите пратки навън от мрежата. Множество “черни кутии” на системи за сигурност също така включва определен род система за криптиране, въпреки че някои VPN не включват.

11. Firewall Firewall продукти за VPN, каквито са NetScreen, Watchguard или NetFortress често са относително прости, plug-and-play решения за мрежова сигурност. Системата може да бъде свързана с толкова много LAN мрежи, колкото е нужно, ключовете се обменят между две единици и VPN е завършена. Обаче, тези решения могат да имат голяма цена и правилния избор ще зависи от уникалните мрежови нужди и необходимостта от сигурност на компанията или компаниите, които използват тази мрежа.

12. VPN - криптиране Криптирането представлява промяна на данните по начин, по който само този, за когото са предназначени може да използва. Повечето системи за криптиране работят на някой от следните два принципа: Симетрично криптиране и Асиметрично криптиране .

13. Шифроване и дешифороване Шифрован текст 8vyaleh31&d ktu.dtrw8743 $Fie*nP093h шифроване Bob Is a Fink Bob Is a Fink дешифроване

14. Основи на криптирането

15. 2 вида криптиране Асиметричното криптиране представлява комбинация от частен и публичен ключ. Частният ключ е известен само на потребителя докато публичният, както личи от името му, е обществено достояние. При криптирането със симетричен ключ и за кодиране и за декодиране на данните се използва един и същи ключ, което предполага определена несигурност от гледна точка на преноса на ключа.

16. Симетрична криптография VS. Асиметрична криптография Симетричната криптография по-принцип е по-бърза за разгръщане и често се използва за обмен на големи пратки от информация между две групи, които се познават и използват един и същ частен ключ за достъп до информацията. Асиметричната система е много по-сложна и изисква двойка от ключове, които са математически свързани – един публичен и един частен – за да може да се получи достъп до информацията. Този метод често се използва за малки, по-важни пратки от информация или по време на процеса по идентифициране. Важно е да се има в предвид, че прибавянето на силна система за криптиране към VPN може да забави скоростта за пренос на данни.

17. Идентификация За да идентифицират правилно самоличността на даден индивид или компютърен източник, VPN обикновено използват една или повече форми на автентичност. Тези методи обикновено се базират на автентичност на паролите или дигитални сертификати.

18. Автентичност на паролите Автентичността на паролите е най-широко разпространената форма на потребителска автентичност, която се използва в наше време при компютърните системи, но също така и една от най-слабите, защото паролите могат да бъдат отгатнати или откраднати. Мултифакторната автентичност по принцип е по-силна форма на достоверност и е базирана на обстоятелството за използването на дадено приложение с някого, когото познавате. Този процес е подобен на начина, по който се използват повечето АТМ карти – потребител притежават физическа АТМ карти и я “отключва” с парола.

19. Сертификати Дигиталните сертификати също се превръщат в преобладаващ механизъм за удостоверяване при VPN. Дигитален сертификат е електронен документ, който се издава на индивид от "Certificate Authority” и може да гарантира идентичността на индивида. В основата си той привързва идентичността на индивида към публичния ключ. Дигиталния сертификат ще съдържа публичен ключ, информационна спецификация на потребителя (име, компания и т.н.), информационна спецификация за използвателя, период на валидност и допълнителна информация за управление. Тази информация ще се използва за създаването на съобщителен дайдежест, който е криптиран с частния ключ на Certificate Authority, за да “подпише” сертификата. Чрез употребата на процедурата по верифициране на дигиталния подпис, която бе описана по-горе, участници в даден разговор могат взаимно да се идентифицират един друг. Въпреки че този процес изглежда прост, той включва сложни системи на ключово генериран, сертифициране, анулиране и управление, всичките които са част от Инфраструктурата на публичния ключ (PKI). Последната е широк набор от технологии, които се използват за управлението на публични ключове, частни ключове и сертификати.

20. AAA сървъри AAA (authentication, authorization and accounting) се използват за по – улеснен достъп. Когато постъпи заявка за сесия от отдалечен клиент, заявката се предава към AAA сървър, който след това проверява: Кой сте вие - автентикация (authentication) Какво ви е позволено да правите – авторизация(authorization) Какво всъщност правите - акаунтинг (accounting)

21. Тунелиране Повечето VPN решения разчитат на изграждането на тунел през някаква мрежа (обикновено Интернет). Като цяло тунелирането представлява поставяне на пакета в друг пакет и изпращането му. Протокола на външния пакет е познат на преностната мрежа и на двете страни, които ползват тунела. Тунелирането изисква три различни протокола: Транспортен протокол – този протокол се използва от мрежата, която извършва преноса. Капсулиращ протокол - Протоколът (GRE, IPSec, L2F, PPTP, L2TP), който “покрива” оригиналните данни Passenger протокол – Оригиналните данни (IPX, NetBeui, IP). Тунелирането има прекрасни достижения за VPN. Например можете да пренасяте протокол, който не се поддържа от мрежата (като NetBeui например), в която се изгражда VPN-а. При VPN-а между мрежи, GRE (generic routing encapsulation) е обичайно използван протокол. Той включва информация за това какъв вид пакет се капсулира, както и информация за връзката между клиента и сървъра.

22. Технологии

23. IPSEC IPSec (Internet Protocol Security) протоколът е измислен специално за осигуряване на нужната сигурност при комуникация в незащитени мрежи. IPSec два режима на криптиране: тунел и транспорт. В режим на тунелиране се криптира и заглавната част (header), и информационната част, а при транспорт – само информационната IPSec може да криптира данни между устройства като: Рутер към рутер Firewall към рутер PC към рутер PC към сървър

24. IPSEC Повечето VPN използват IPSec технологии, развиващата се структура от протоколи, която се е превърнала в стандарт за повечето продавачи. IPSec е полезно, защото е съвместимо с повечето различен VPN хардуер и софтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен достъп. IPSec изисква от клиентите много малко познание, защото авторизацията не е потребителско базирана, което означава, че не се изисква специален знак (какъвто е Secure ID или Crypto Card).

25. Цялостността на информацията Цялостността застрахова, че информацията, която се изпраща по публичния Интернет не е променена по никакъв начин по време на транзита. VPN обикновено използват една от трите технологии за да осигурят цялостността на информацията, а те са:

26. Цялостността на информацията еднопосочни hash функции – тази функция генерира изходна стойност с фиксирана дължина, която се базира на входен файл с произволна дължина. Идеята е, че е лесно да се калкулира hash стойността на файл, но е математически трудно да се генерира файл, който да отразява тази стойност. За да се потвърди целостта на даден файл, получателя ще изчисли hash стойността на този файл и ще я сравни със същата тази стойност, изпратена от подавателя. По този начин получателя може да се увери че подавателя е притежавал файла по времето, когато е създал hash стойността.

27. Цялостността на информацията кодове достоверност на съобщението (MACs) – тези кодове просто добавят ключ към hash функцията. Изпращача ще създаде файл, ще изчисли МАС, базиран на ключа, който поделя с получателя и след това ще го приложи към този файл. Когато получателя получи файла, ще му бъде лесно да пресметне МАС и да я сравни с тази, която е била прикрепена към файла. дигитални подписи – те също могат да бъдат използвани с цел достоверност на информацията. Дигиталния подпис в основата си е криптография с публичен ключ, само че наобратно. Подавателя се “подписва” дигитално на документа със своя личен ключ и получателя може да провери подписа чрез публичния ключ на изпращача.

28. Заключение Всички виртуални частни мрежи изискват конфигурация на устройство за достъп, което е или софтуерно или хардуерно базирано, за да се настрои канал за сигурност. Произволен потребител не може просто да се свърже към даден VPN, тъй като е необходима определена информация, която да осигури на отдалечен потребител достъп до мрежата. Когато се използва заедно със строга авторизация, виртуалната частна мрежа може да предотврати успешното проникване на нарушители в мрежата, дори ако те успеят някак си да се включат към някоя от сесиите на мрежата.