Documente Academic
Documente Profesional
Documente Cultură
SSL VPN
SECURE WIRELESS VPN NETWORKS THROUGH
SSL VPN
Ing. Simona CONSTANTIN
*Institutul Naional de Studii i Cercetare n Comunicaii
Rezumat:
Lucrarea trateaz problema securitii atunci cnd sunt implementate i folosite reele VPN wireless, i
confidenialitatea datelor, criptarea traficului, fiabilitate, autentificare, certificate de ncredere, etc.. Securitatea
VPN este atins prin protejarea traficului cu metode de criptare moderne i puternice, cu tehnici de autentificare
sigure i cu firewall-uri care s controleze traficul ce intr i ce iese prin tunele.
Cuvinte cheie: securitate, VPN, SSL / TSL, reele wireless
Abstract:
The paper addresses the issue of security when implemented and used wireless VPNs, and data
confidentiality, traffic encryption, reliability, authentication, trusted certificates, etc.. VPN security is achieved by
protecting the trafficking of modern encryption methods and strong, reliable authentication techniques and firewalls
to control traffic that enters and exits through the tunnels.
Key words: security, VPN, SSL / TSL, wireless networks
Una dintre cele mai mari probleme atunci cnd sunt implementate i folosite reele
wireless, este securizarea acestora.
Cu att mai mult se pune problema securitii atunci cnd este vorba despre o reea
VPN wireless deoarece fr securitate o reea VPN nu mai este privat.
Aadar, la nceput, se vor considera caracteristicile de baz ale securitii i msurile ce
trebuie luate ntr-o companie.
Pentru a securiza o reea trebuie atinse trei eluri:
- confidenialitate prin care se nelege c datele transferate trebuie s fie accesate
doar de persoanele autorizate;
- fiabilitate (integritate) datele transferate nu trebuie s fie modificate ntre
transmitor i receptor;
- disponibilitate datele transferate trebuie s fie disponibile la cerere.
Toate acestea pot fi realizate prin folosirea unui software, hardware i a unui ISP de
ncredere ct i a politicilor de securitate. O politic de securitate definete responsabiliti,
proceduri standard i scenarii de recuperare i management al dezastrelor pentru a aciona
pregtit n cazul celei mai rele situaii.
Prin contientizarea pagubelor maxime i a costurilor celei mai mari catastrofe posibile
poate oferi o idee asupra efortului necesar ce trebuie depus n ceea ce privete securitatea.
Securitatea VPN este atins prin protejarea traficului cu metode de criptare moderne i
puternice, cu tehnici de autentificare sigure i cu firewall-uri care s controleze traficul ce intra i
ce iese prin tunele. Dar, doar criptarea traficului nu este ndeajuns.
Confidenialitatea Criptarea Traficului
De cele mai multe ori, parolele i cheile de criptare sunt folosite pentru a cripta datele.
Atunci cnd ambele terminale folosesc aceeai cheie pentru a cripta i decripta datele, criptarea
se numete simetric. n acest caz cheia de criptare trebuie s se gseasc pe toate terminalele ce
vor lua parte la conexiunea VPN[1].
Aadar, software VPN cum este IPSec-ul schimb aceste chei la intervale definite.
Cheile sunt valide doar pe o anumit perioad de timp, acest interval de timp poart numele de
timp de via al cheii.
O combinaie bun ntre timpul de via i lungimea cheii asigur imposibilitatea
atacatorului s decripteze cheia atta timp ct ea este valid.
De asemenea, dac software-ul VPN schimba n permanen cheile, trebuie s se
foloseasc o metod de a interschimba cheile ntre utilizatorii reelei private de comunicaii,
astfel nct toi utilizatorii s foloseasc aceeai cheie de criptare n acelai timp. n acest punct,
se folosesc aceleai principii, deoarece i acest schimb de chei trebuie s fie securizat. De-a
lungul timpului s-au dezvoltat multe soluii n ceea ce privete acest schimb de chei, dar
majoritatea s-au dovedit insuficient de sigure. Acest proces de interschimbare sporete
complexitatea software-ului VPN.
IPsec, tehnologia VPN cea mai frecvent utilizat, folosete protocolul propriu pentru
schimbul cheilor de criptare. Acest protocol se numeste interschimbarea cheilor de Internet (IKE
- Internet Key Exchange), este n dezvoltare nc de la mijlocul anilor nouzeci i nu este nc
terminat. Chiar dac IKE pare a avea unele probleme de securitate, este folosit (cu IPsec) n
multe companii.
Fiabilitate i autentificare
Un alt pericol sunt atacurile provocate de oameni, de asemenea, cunoscute sub
denumirea de eavesdropping[1]. n acest scenariu, un hacker intercepteaza tot traficul de date
ntre expeditor i receptor, l copiaz i l transmite ctre destinaia sa adevrat. Att
expeditorul ct i receptorul nu ar observa c datele sunt interceptate. Interceptorul poate stoca,
copia, analiza, i poate chiar modifica traficul de date capturat. Acest lucru este posibil n cazul
n care atacatorul poate intercepta i decripta cheile n timp ce acestea sunt utilizate pentru
criptare.
Problema complexitii n VPN-urile clasice
Cu VPN-urile clasice care utilizeaz cheile simetrice, exist mai multe straturi de
autentificare, de schimb de chei de criptare, i de criptare / decriptare. Urmtoarele sunt primele
trei etape ale VPN-ului cu criptare simetric (fig. 2):
Certificate de ncredere
Certificatul SSL conine mai multe informaii. Informaiile despre destinatar i emitent
sunt probabil cele mai importante. Dac n certificat se gsesc informaii ce prezint o
organizatie de ncredere, atunci accesarea ar trebui s se poat face n condiii de siguran i
astfel s se aib ncredere n acest certificat.
Fiecare browser care are activat TLS-ul conine o list a organizaiilor de ncredere care
au dreptul s semneze certificatele i cheile necesare pentru a confirma acest lucru.
Aceast aa-numit schem de autentificare de ter parte este destul de comun astzi.
Crile de identitate i paapoartele pe care le folosim astzi acioneaz n acelai fel, autoritile
garantnd c titularul este cine pretinde a fi. Aceast informaie este valabil numai pentru o
anumit perioad de timp. Aproape fiecare persoan, societate, sau organizaie se bazeaz pe
aceste informaii. Aceste principii sunt, de asemenea, puse n aplicare n mai multe mecanisme
de autentificare moderne, cum ar fi Kerberos sau SSL/TLS.
Certificate Auto-semnate
De asemenea, este posibil s se utilizeze certificate care nu sunt semnate de ctre
autoritile menionate mai sus, ci de ctre o autoritate de certificat local (Certificat Authority -
CA).
n viaa real, n cazul n care dou persoane se cunosc fiind prezentai unul altuia de
ctre un prieten comun, atunci tendina este de a avea ncredere ntre ei pur i simplu datorit
recomandrii unul altuia de ctre o persoan de ncredere. Dar cineva nu ar avea ncredere n
cineva necunoscut. Dac se intr pe un site cu un certificat care este semnat numai de ctre un
CA local, se va afia urmtorul avertisment ca n figura 3[1]:
Acest avertisment avertizeaz c nu este cunoscut emitentul acestui certificat i nici nu
este cunoscut cineva care garanteaz identitatea emitentului.
Fig. 3 Avertisment
Fiecare client SSL/TLS ofer o avertizare atunci cnd un client dorete s stabileasc o
conexiune criptat cu un certificat privat nesemnat.
Certificatele auto-semnate sunt adesea folosite n scopuri de testare sau n reele locale,
deoarece nregistrarea (semnarea) certificatelor de ctre autoritile de certificare este
costisitoare i nu este necesar n multe scenarii. Cu toate acestea, politica de securitate a unei
companii ar trebui s conin definiii cu privire la utilizarea certificatelor semnate i nesemnate
pe servere.
Bibliografie
[1] Markus Feilner Open VPN Building and Integrating Virtual Private Networks, Packt
Publishing, BIRMINGHAM MUMBAI 2006
[2] ***http://sslvpnbook.packtpub.com/