Przejdź na skróty do treści. | Przejdź do nawigacji

Sekcje
Narzędzia osobiste
Jesteś w: Start Edukacja Biuletyn techniczny Numer 4/2003
 

Numer 4/2003


18 sierpnia 2003

W odpowiedzi na duże zainteresowanie technologiami zabezpieczeń VPN oddajemy w Państwa ręce kompletne opracowanie obejmujące zagadnienia związane z technicznymi zasadami działania IPSec/IKE, praktyczną implementacją różnych scenariuszy VPN oraz metodami ustalania źródeł i rozwiązywania problemów. Artykuł przygotowany został na wysokim poziomie technicznym. Jako wprowadzenie do tej tematyki zamieściliśmy w odrębnym dokumencie opis podstawowych algorytmów i technik kryptograficznych stosowanych w sieciach VPN.

W pierwszym numerze biuletynu analizowaliśmy wymagania stawiane platformie zabezpieczeń Firewall. Wydajny sprzęt i odpowiednie przygotowanie systemu operacyjnego są bowiem kluczowe dla poprawnego funkcjonowania zabezpieczeń. W ostatnim czasie pojawiły się na polskim rynku nowe rozwiązania w tym zakresie, jak platforma Firewall dostarczana przez SUN Microsystems. Jako uzupełnienie naszej analizy proponuję zapoznać się z rzetelnie przygotowaną charakterystykę tego rozwiązania – przeczytaj dokument

W bieżącym wydaniu:


Wprowadzenie do technologii VPN

Artykuł omawia podstawowe algorytmy i techniki kryptograficzne stosowane w sieciach komputerowych, jak szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana, funkcje haszujące i HMAC oraz podpisy i certyfikaty cyfrowe (X.509). W opracowaniu przedstawione zostały także rodzaje sieci VPN (m.in. Meshed VPN, Hub&Spoke) oraz mechanizmy ich funkcjonowania (m.in. tunelowanie pakietów).

 Przeczytaj artykuł - vpn_crypto.pdf, 325 KB


Zasady działania i praktyczne implementacje sieci VPN na bazie protokołów IPSec/IKE

Artykuł przedstawia techniczne szczegóły funkcjonowania i implementacji sieci VPN. Dokument został podzielony na następujące rozdziały:

  1. Techniczne zasady funkcjonowania sieci IPSec (ESP-AH, Transport-Tunnel, SA-SPI).
  2. Negocjowanie sesji VPN za pomocą protokołu IKE (Main-Aggressive/Quick Mode, Pre-Shared/X.509, PFS, Replay Protection).
  3. Implementacje sieci VPN Site-Site (Policy-based VPN, Routing-based VPN).
  4. Wykorzystanie certyfikatów cyfrowych do uwierzytelniania sieci VPN (X.509, PKCS#7/10, SCEP, OCSP).
  5. Implementacje sieci VPN Client-Site.
  6. Weryfikacja poprawności funkcjonowania VPN.
  7. Ustalenie przyczyny problemów funkcjonowania VPN. 

 Przeczytaj artykuł - vpn_techn.pdf, 1068 KB


Nieco socjologii

Wydaje się, że nie trzeba nikogo przekonywać, iż hasła, jako jednoskładnikowe metody uwierzytelniania i ochrony nie są już od dawna wystarczającym rozwiązaniem.

Organizatorzy Infosecurity Europe 2003 w wyniku przeprowadzonych badań stwierdzili, iż 95% mężczyzn i 85% kobiet jest skłonnych podać swoje hasło "ankietujacej" osobie w wyniku prostych zabiegow socjotechnicznych - np. w zamian za tanie pióro (chociaż 75% z nich podało je bez wahania, jako odpowiedź w ramach przeprowadzanej ankiety). Okazuje się, iż, co zaskakujące, są to wyniki sporo gorsze, niż jeszcze rok temu, kiedy średnio 65% użytkowników było skłonnych do takiej wylewności.

Jeden z respondentów stwierdził - "Jestem szefem firmy i nie podam wam hasła, ponieważ mogłoby to naruszyć poufnośc danych mojej firmy". W trakcie rozmowy powiedział jednak, że tym hasłem jest imię jego córki. Po krótkim czasie - zadano mu pytanie jak ma na imię jego córka. Odpowiedź, udzielona bez namysłu, brzmiała - "Tasmin"

Ponadto 80% z nich przyznało się, iż w wypadku zmiany pracy niemieliby skrupułów zabierając ze sobą poufne dane, czy tez ujawniając wysokość dotychczasowych zarobków.

12% haseł brzmiało "password", zaś jako 16% z nich uzywane było imię użytkownka, a następnie (11%) - nazwa drużyny piłkarkiej oraz data urodzin (8%).

Dwie trzecie pracowników podało swoje hasła swoim kolegom, zaś trzy czwarte znało hasła swoich współpracowników (???!!!)

Ponadto dwie trzecie pracowników używało dokładnie tego samego hasła do dostępu do informacji korporacji, jak i wszystkich innych kont - m.in. bankowych, portali webowych, etc.

Tamar Beck, dyrektor InfoSecurity Europe 2003, stwierdził: "Pracownicy są czasem naiwni, słabo wyszkoleni lub nie zostali uświadomieni ryzyka bezpieczeństwa. Dlatego też pracodawcy muszą stworzyć kulturę ochrony ich informacji i reputacji z politykami bezpieczeństwa popartymi szkoleniami, by wspierać technologie bezpieczeństwa".

Link do orginału: http://www.theregister.co.uk/content/archive/30324.html


Jak zapobiegać takim naruszeniom bezpieczeństwa stosując dwuskładnikowe uwierzytelnianie ? Obecnie najbardziej nośną koncepcją w zakresie mocnego dwuskładnikowego uwierzytelniania są korporacyjne karty inteligentne (Corporate Access Card) oparte o wieloaplikacyjną platformę Javacard, które możemy stosować równoczesnie do bardzo wielu aspektów ochrony - m.in:

  • hasła statyczne,
  • hasła dynamiczne (bodaj jedynym dostawcą tego typu technologii generowania hasła jednorazowego na samej karcie, po podaniu przez użytkownika jedynie PIN-u jest obecnie Activcard),
  • mocne uwierzytelnianie dostępu do systemów (MS Windows, Linux/Unix, Mac),
  • mocne uwierzytelnianie dostępu do portali webowych,
  • Infrastruktura Klucza Publicznego (MS Windows, Linux/Unix, Mac),
  • kontrola dostępu do pomieszczeń (karta hybrydowa),
  • wspomaganie pojedynczego logowania (Single Sign On),
  • uwierzytelnianie w oparciu o dane biometryczne (porównywane bezpośrednio na samej karcie !)

Czyli "Jedna karta do wszystkiego" ! A co ważniejsze - mamy możliwość rozszerzania jej funkcjonalności o kolejne, ograniczone jedynie naszą pomysłowością, aspekty - programy lojalnościowe, elektroniczną portmonetkę, itp.

Więcej informacji o rozwiązaniach technologicznych na stronach:

Jeżeli nie chcesz otrzymywać dlaszych wydań tego biuletynu wyrejestruj swój adres e-mail z pomocą tego formularza

Jeżeli wydaje Ci się, że ten biuletyn jest atrakcyjny zaproponuj jego subskrypcję znajomym

Zobacz poprzednie wydania


ZASTRZEŻENIE PRAWNE

  • Niniejsza przesyłka adresowana jest do ściśle okreslonego odbiorcy.
  • W rozumieniu ustawy 18.07.2002r. (DZ.U. nr 144 poz. 1204) "O świadczeniu usług drogą elektroniczną" niniejsza przesyłka stanowi korespondencję zamówioną i nie może być podstawą do jakichkolwiek roszczeń prawnych. W każdej chwili adresat może zrezygnować z korzystania z tego serwisu poprzez wysłanie stosownej prośby na adres nadawcy.


©  CLICO Sp. z o.o. Wszelkie prawa zastrzeżone

Ten serwis wykorzystuje tzw. pliki cookies (ciasteczka) w celu zapewnienia poprawnego funkcjonowania oraz wygody korzystania z jego mechanizmów. Dotyczy to celów: statystycznych (zbieranie informacji o odwiedzanych stronach, używanej przeglądarce, systemie operacyjnym); realizacji usług i funkcjonowania serwisu (utrzymywanie na serwerze tzw. "sesji" i odwołanie do wybranego języka po zalogowaniu się do serwisu); przystosowania serwisu do indywidualnych potrzeb. Zaznaczamy, że można określić warunki przechowywania lub dostępu do plików cookies w używanej przeglądarce. Zmiana ustawień może jednak uniemożliwić korzystanie z niektórych elementów serwisu lub wprowadzić irytację związaną z koniecznością wielokrotnego wyboru trybu pracy. Jeżeli wyrażasz zgodę na umieszczenie „ciasteczek” w pamięci Twojej stacji roboczej kontynuuj używanie przeglądarki bez zmiany jej ustawień.
Dziękujemy

Zamknij