Tritech System Technologyspecjalizuje się w budowaniu niezawodnych wirtualnych sieci prywatnych VPN (Virtual Private Network) w oparciu o produkty sieciowe japońskiej firmy Allied Telesyn. Rozwiązanie VPN skierowane jest to wszystkich sektorów telekomunikacyjnych, przedsiębiorstw, firm posiadających łącza internetowe – wszystkich, którzy chcą zwiększyć bezpieczeństwo w ich sieciach.
Podstawowe parametry opisane w dokumencie:
Firewall jako bezpieczne „drzwi”
Attack detection System – czym jest i co powoduje
Sposób wysyłania i odpierania informacji przez Internet – poprzez tunel VPN (Virtual Provate Network)
W jaki sposób pakiety przesyłane w transmisji są szyfrowane i autentykowane
Jak SECURITY może być zarządzane i monitorowane
Zagadnienie bezpieczeństwa
Dlaczego potrzebujemy VPN?
Wszystkie sieci połączone do Internetu są potencjalnie narażone na ataki. Nasze zaufanie do komputerów jest wynikiem zmiany sposobu pracy. Firmy, które mają swoje oddziały oraz klientów odległych od siebie geograficznie potrzebują szybkiego, bezpiecznego i niezawodnego sposobu komunikacji. Bezpieczeństwo staje się coraz bardziej ważnym aspektem odkąd ludzie potrzebują zdalnego połączenia do swoich firm.
Pierwszym krokiem do zbudowania niezawodnej ochrony sieci jest firewall jako bariera do wejścia do sieci. Firewall jest czymś w rodzaju bezpiecznych drzwi do banku, drzwi przez które cały ruch jest dokładnie monitorowany
Dla sieci bezpieczeństwo poza systemami firewall realizowane jest za pomocą attack detection system czyli rozpoznawaniu prób ataku do sieci. System ten wykrywa próby ataków i alarmuje o nich administratorów sieci.
Czasami pakiety sieci muszą wędrować na zewnątrz sieci. I tam także musimy zadbać o ich bezpieczeństwo. Do tego celu sieć wykorzystuje secure tunel (bezpieczny tunel). Istnieje jednak potencjalna możliwość aby pakiety w tunelu zostały przez intruza przechwycone dlatego dodatkowo są one szyfrowane – encrypted. Dodatkowo pakiety w sieci VPN są także autentykowane – aby wykluczyć możliwość podszycia się pod właściwego użytkownika.
Przykład zastosowania VPN
Firewall
Firewall jest urządzeniem zaprojektowanym to tego aby bezpiecznie korzystać z Internetu poprzez ustawienie na nim wielu reguł i zasad, oraz uniemożliwić dostęp z Internetu do naszej sieci prywatnej. Firewall pozwala także na uruchomienie jednego lub kilku punktów wejściowych do naszej sieci dokładnie monitorowanych.
Firewall powinien mieć osiem podstawowych funkcjonalności:
traffic filtering,
stateful inspection,
Network Address Translation,
application gateways,
proxy servers,
intrusion attack detection,
management and monitoring
access lists
Traffic filtering decyduje które pakiety mogą przejść przez firewall zgodnie z nałożonymi regułami. Reguły te mogą być oparte na źródłowych adresach IP, adresach docelowych IP, protokole (tcp, udp, icmp itd.), portach oraz pory dnia.
Statefull Inspection Firewall (dynamic packet filtering) rozpoznaje pakiety które są przypisane do danego przepływu ruchu. Rozpoznaje ona i sprawdza każdy nowy ruch danych. Technologia statefull daje możliwość zapamiętania statusu ruchu danych przez co zwiększa się znacznie wydajność Firewall i umożliwia transmisję danych nowych aplikacji.
NAT (Network Address Translation) jest to zamiana adresów IP w pakiecie. W sieci prywatnej wykorzystuje się adresy IP prywatne przez co znacznie zwiększa się ilość możliwych w sieci Internet komputerów. NAT jest także czymś w rodzaju Firewall nie pokazując adresów IP sieci prywatnej – sieci publicznej. Typowo NAT pozwala pojedynczemu gateway’owi działania jako pośrednik pomiędzy Internetem a siecią prywatną.
Application Gateways są używane prze aplikacje takie jak FTP (File Transfer Protocol) oraz RTSP (Real Time Streaming Protocol). Protokoły te wysyłają pakiety które zawierają wbudowany adres IP. Application gateway wie wystarczająco dużo o tych aplikacjach aby znaleźć wbudowany adres IP i zamienić go na adres IP gateway’a.
Proxy Server muszą znać dobrze wykorzystane aplikacje i znać sposób w jaki aplikacja wykorzystuje swoje połączenia – muszą one pasować do specjalnych reguł wykorzystanych w serwerach proxy. NP. http (Typer Text Transfer Protocol) Proxy może być używany do filtrowania URL żądanych w ruchu http. Ten sposób efektywnie blokuje dostępu do stron www które nie pasują do reguł, i mogą blokować żądania Cookie. SMTP Proxy (Simple Mail Transfer Protocol) może być używany do identyfikowania i terminowania ruchu poczty mail która ma złośliwe intencje.
Access lists są użytecznym rozwiązaniem do zablokowania lub przepuszczania ruchu dużym grupom użytkowników publicznej stronie Internetu. Są także przydatne dla użytkowników identyfikowanych po ich adresie MAC.
Monitoring and Accounting – jest to zdolność firewalla do wyświetlania, logowania informacji kiedy jakieś zdarzenie miało miejsce w sieci. Szczegóły są wysyłane za pomocą poczty elektronicznej lub przez port asynchroniczny.
Attack detection System jest używany przez Firewall do wykrywania i logowania różnego rodzaju ataków na sieć. Administrator jest powiadamiany kiedy atak został wykryty oraz odpowiednia akcja jest podejmowana aby zminimalizować skutki ataku.
Typowe przykłady ataków na sieć:
· Denial of Sernice (Dos) Floods - sieć· (urządzenie) jest zalewana pakietami aby uniemożliwić· autentykację ruchu dochodzącego do celu
· TCP Fragments – fragmentacja wysyłanych pakietów TCP jest zbyt duża lub nie może być· połączona
· Host Scan - wykrywanie adresów hostów w sieci
· Spoof Attacks – pakiety są wysyłane ze zmienionym źródłowym adresem IP dlatego też wydaja się pochodzić· z innego – legalnego źródła
· Ping of Heath – wysyłane pakiety ping (ICMP echo reqests) ze złym rozmiarem lub bardzo duża ilość· wysyłanych pakietów
· Port Scans – otwarte porty w hostach są skanowane w celu ich wykorzystania
· Smurf Attacks – wysyłane pakiety Ping z adresem docelowym jako broadcast i podmienionym adresem źródłowym (spoofing)
· Syn Attacks – wielokrotne otwieranie sesji TCP SYN aż do wyczerpania zasobów dostępnych sesji hosta lub zasobów pamięci
VPN
Prawie wszyscy użytkownicy potrzebują obecnie możliwość dostania się do zasobów poprzez niezabezpieczone łącza internetowe. VPN – Virtual Private Network jest rozwiązaniem – tuneluje ruch w sieci poprzez Internet łącząc je ze sobą w bezpieczny sposób. Jest to dobre rozwiązanie na bezpieczne łączenie oddziałów biur.
Technologia VPN oparta jest na idei tunelowania sieci prywatnych poprzez tunel poprzez sieć publiczną. VPN w sieci Internet enkapsuluje wewnętrzne adresy IP i przesyła je poprzez tunel. Ta enkapsulacja daje nam separacje sieci. Autentykacja weryfikuje autentyczność danych natomiast enkrypcja poufność danych.
Protokoły jakie są używane do tunelowania to:
Multi-protocol Label Switching (MPLS),
Generic Routing Encapsulation (GRE),
Point-to-Point Tunnelling Protocol (PPTP),
Layer 2 Tunnelling Protocol (L2TP),
IPSec.
IPSec (Internet Protocol Security) jest używany do kreowania VPNów. Umożliwia nam separację sieci przez tunelowanie pakietów IP wewnątrz innych pakietów IP oraz zapewnia poufność I integralność danych. Jest to zbiór różnych powiązanych ze sobą protokołów pracujących na warstwie trzeciej – sieci. Może być on używany jako kompletne rozwiązanie dla VPN lub jako schemat szyfrowania wewnątrz protokołów L2TP oraz PPTP.
IPSec dostarcza:
connectionless integrity – zapewnia niezmienność danych w tranzycie
data origin authentucation – weryfikuje kto wysłał dane
enkrypcję do zapewnienia poufności pakietów
replay protection – wykrywanie pakietów które zostały odebrane więcej niż jeden raz. Ochrona przed atakami Dos.
Encryption / Authentication – szyfrowanie i autentykacja są dwoma ważnymi częściami VPN. Wrażliwe dane muszą być prywatne i bezpieczne, dlatego najpierw są one szyfrowane a następnie wysyłane aby upewnić się że nikt inny poza zamierzonym odbiorcą nie przeczyta informacji zawartej w danych. Wyróżniamy dwie klasy algorytmu szyfrowania:
Szyfrowanie symetryczne
Szyfrowanie asymetryczne
Najczęściej spotykanym algorytmem szyfrowania jest algorytm DES (Data Encryption Standard). Algorytm ten został zoptymalizowany do sieci wysokowydajnych – implementacji sieci gdzie przepustowość oraz brak opóźnień ma kluczowe znaczenie. Innym przykładem symetrycznego szyfrowania jest Triple DES (3DES) oraz AES (Advance Encryption Standard)
Przykładem szyfrowania niesymetrycznego jest szyfrowanie RSA – nie jest to jednak tak często wykorzystywany standard jak DES czy 3DES.
Autentykacja jest wymagana do weryfikowania czy dane nie zostały przechwycone przez kogoś i nie przesłane do nas dalej. Operacja ta polega na przeliczaniu tzw. MAC (Message Authentication Code) najczęściej nazywany jako algorytm hash. Przykłady algorytmu hash to:
