Σχεδιασμός και ανάπτυξη προσομοίωσης Εικονικών Ιδιωτικών ικτύων SSL Remote VPNs (Web VPNs) με το λογισμικό γραφικής προσομοίωσης GNS3 SSL client

Transcript

1 ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙ ΕΥΤΙΚΟ Ι ΡΥΜΑ (ΤΕΙ) ΥΤΙΚΗΣ ΜΑΚΕ ΟΝΙΑΣ ΠΑΡΑΡΤΗΜΑ ΚΑΣΤΟΡΙΑΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ & ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ Σχεδιασμός και ανάπτυξη προσομοίωσης Εικονικών Ιδιωτικών ικτύων SSL Remote VPNs (Web VPNs) με το λογισμικό γραφικής προσομοίωσης GNS3 SSL client ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ του ΠΑΥΛΟΥ ΠΑΝΑΓΙΩΤΗ (ΑΕΜ: 386) Επιβλέπων : Σπυρίδων Νικολάου Καθηγητής Εφαρμογών Καστοριά Νοέμβριος 2012

2 Η παρούσα σελίδα σκοπίμως παραμένει λευκή 2

3 ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙ ΕΥΤΙΚΟ Ι ΡΥΜΑ (ΤΕΙ) ΥΤΙΚΗΣ ΜΑΚΕ ΟΝΙΑΣ ΠΑΡΑΡΤΗΜΑ ΚΑΣΤΟΡΙΑΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ & ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ Σχεδιασμός και ανάπτυξη προσομοίωσης Εικονικών Ιδιωτικών ικτύων SSL Remote VPNs (Web VPNs) με το λογισμικό γραφικής προσομοίωσης GNS3 SSL client ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ του ΠΑΥΛΟΥ ΠΑΝΑΓΙΩΤΗ (ΑΕΜ: 386) Επιβλέπων : Σπυρίδων Νικολάου Καθηγητής Εφαρμογών Εγκρίθηκε από την τριμελή εξεταστική επιτροπή την 9 η Νοεμβρίου Ονοματεπώνυμο Μέλους Ονοματεπώνυμο Μέλους Ονοματεπώνυμο Μέλους Ιδιότητα Μέλους Ιδιότητα Μέλους Ιδιότητα Μέλους Καστοριά Νοέμβριος

4 ΠΕΡΙΛΗΨΗ Η παρούσα πτυχιακή εργασία έχει ως αντικείμενο έρευνας την τεχνολογία εικονικών ιδιωτικών δικτύων SSL VPN. Θα κατηγοριοποιήσουμε και θα αναλύσουμε τις τεχνολογίες και τις τοπολογίες για την δημιουργία SSL VPNs. Ακόμα θα μάθουμε το πως προβαίνουμε στον σχεδιασμό, την σύγκριση και την υλοποίηση ενός SSL VPN για μια εταιρεία ή οργανισμό, ανάλογα με τις ανάγκες που θα έχει η εκάστοτε εταιρεία ή οργανισμός. Τέλος, θα αναπτυχθεί η δημιουργία ενός Clientless SSL VPN χρησιμοποιώντας το πρόγραμμα γραφικής προσομοίωσης GNS3. Λέξεις-κλειδιά: VPN, SSL, TLS, GNS3, ASDM4 ABSTRACT The present thesis investigates the technology of SSL Virtual Private Network. We will categorize and further research the technologies and topologies for the creation of SSL VPNs. Furthermore we will learn how we make the planning, the comparison and the deployment of an SSL VPN for a company or organization, depending the needs of the company or the organization. Finally, we will develop an Clientless SSL VPN using the software of graphical simulation GNS3. Keywords: VPN, SSL, TLS, GNS3, ASDM 4

5 ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΛΗΨΗ...4 ΠΕΡΙΕΧΟΜΕΝΑ...5 ΕΥΡΕΤΗΡΙΟ ΕΙΚΟΝΩΝ...8 ΕΙΣΑΓΩΓΗ...9 ΚΕΦΑΛΑΙΟ 1 ΕΙΚΟΝΙΚΑ Ι ΙΩΤΙΚΑ ΙΚΤΥΑ Τι είναι τα Εικονικά Ιδιωτικά ίκτυα Τι μας προσφέρουν τα Εικονικά Ιδιωτικά ικτυα Τεχνολογίες και πρωτόκολλα VPN Site-to-Site VPN Remote Access VPN...13 ΚΕΦΑΛΑΙΟ 2 Secure Socket Layer Επισκόπηση SSL Record Layer Protocol Handshake Protocol Alert Protocol Change Cipher Spec Protocol Application Data Protocol Τι είναι το SSL Η ιστορία του SSL/TLS

6 2.4 ιαφορές SSL/TLS Κατηγορίες SSL VPNs SSL Portal VPNs SSL Tunnel VPNs υνατότητες SSL VPNs SSL VPN χαρακτηριστικά Manageability High Availability and Scalability Portal Customization Authentication Encryption and Integrity Protection Access Control Endpoint Security Controls Intrusion Prevention Η κρυπτογράφηση στα SSL VPN Η ταυτοποίηση σε SSL VPN server Επικοινωνία με έναν SSL VPN server...43 ΚΕΦΑΛΑΙΟ 3 Σχεδιασμός και Υλοποιήσεις SSL Είδη SSL VPN Clientless SSL VPN Semi-Clientless SSL VPN

7 3.1.3 Client-Based SSL VPN Full Network Access SSL VPN Σχεδιασμός SSL VPN Aνάλυση Απαιτήσεων SSL VPN Επιλόγη και ημιουργία του κατάλληλου SSL VPN Τοπολογίες SSL VPN Back Office DMZ Firewall εκτός παραμέτρου Air Gap Offloaded SSL...55 ΚΕΦΑΛΑΙΟ 4 Υλοποίηση SSL VPN Ρυθμίσεις στον υπολογιστή Τοπολογία στο GNS Παραμετροποίηση ASA Εγκατάσταση ASDM...59 ΣΥΜΠΕΡΑΣΜΑΤΑ...68 Προτάσεις για μελλοντικές επεκτάσεις...68 ΓΛΩΣΣΑΡΙ...69 ΒΙΒΛΙΟΓΡΑΦIA

8 ΕΥΡΕΤΗΡΙΟ ΕΙΚΟΝΩΝ Εικόνα 1.1 Τοπολογία Site-to-Site VPN...15 Εικόνα 1.2 Τοπολογία Remote Access VPN...15 Εικόνα 1.3 Κατηγοριοποίηση VPN...16 Εικόνα 1.4 υνατότητες Site-to-Site VPN...17 Εικόνα 1.5 υνατότητες Remote Access VPN...18 Εικόνα 2.1 Πακέτο SSL...19 Εικόνα 2.2 Ανάλυση Πακέτου SSL...19 Εικόνα 2.3 ιαφορές SSL και TLS...24 Εικόνα 2.4 Απεικόνιση επικοινωνίας SSL VPN server...45 Εικόνα 3.1 Back Office...51 Εικόνα 3.2 DMZ Εικόνα 3.3 Firewall εκτός παραμέτρου...53 Εικόνα 3.4 Air Gap...54 Εικόνα 3.5 Offloaded SSL...55 Εικόνα 4.1 Υλοποίηση

9 ΕΙΣΑΓΩΓΗ Οργάνωση κεφαλαίων Η παρούσα πτυχιακή εργασία αποτελείται από τα παρακάτω κεφάλαια: Κεφάλαιο 1 Εικονικά Ιδιωτικά ίκτυα Κεφάλαιο 2 Secure Socket Layer Κεφάλαιο 3 Σχεδιασμός και Υλοποίηση SSL Κεφάλαιο 4 Υλοποίηση Clientless SSL VPN Αναλυτικότερα: Στο πρώτο κεφάλαιο παρουσιάζεται μια γενική επισκόπηση των εικονικών ιδιωτικών δικτύων (VPN), τα χαρακτηριστικά τους, οι τεχνολογίες τους, οι υπηρεσίες ασφαλείας που προσφέρουν, αλλά και ο ρόλος που κατέχουν στις σύγχρονες επιχειρήσεις. Στο δεύτερο κεφάλαιο παρουσιάζεται αναλυτικότερα το SSL. ηλαδή τα γενικά χαρακτηριστικά του και τα πλεονεκτήματα που προσφέρει. Επίσης, εξετάζονται οι μηχανισμοί ασφαλείας του SSL, η διαχείριση των κλειδιών και η ασφαλείς μεταφορά των δεδομένων μεταξύ των επικοινωνούντων μερών. Στη συνέχεια στο τρίτο κεφάλαιο αναλύεται διεξοδικά η κατηγοριοποίηση, ο σχεδιασμός και η υλοποίηση των SSL VPN σύμφωνα με τις απαιτήσεις και τις ανάγκες που έχουμε. Παρουσίαση των τεχνολογιών και των τοπολογιών για την δημιουργία του SSL VPN. Σστο τέταρτο κεφάλαιο παρουσιάζεται η υλοποίηση ενός Clientless SSL VPN με την χρήση του προγράμματος γραφικής προσομοίωσης GNS3. Τέλος, παρατίθενται τα συμπεράσματα που προέκυψαν από την εκπόνηση της πτυχιακής εργασίας καθώς και προτάσεις για μελλοντική επέκτασής της. 9

10 ΚΕΦΑΛΑΙΟ 1. ΘΕΩΡΗΤΙΚΟ ΥΠΟΒΑΘΡΟ - VPNs 1.1 ΤΙ ΕΙΝΑΙ ΤΑ ΕΙΚΟΝΙΚΑ Ι ΙΩΤΙΚΑ ΙΚΤΥΑ (VPN) Ένα εικονικό ιδιωτικό δίκτυο (VPN) είναι ένα δίκτυο που χρησιμοποιεί κατά κύριο λόγο δημόσια τηλεπικοινωνιακή υποδομή, όπως το ιαδίκτυο και δίνει τη δυνατότητα σε απομακρυσμένα γραφεία ή σε χρήστες που ταξιδεύουν να έχουν πρόσβαση σε ένα κεντρικό οργανωτικό δίκτυο. Ένα VPN συνήθως απαιτεί από τους απομακρυσμένους χρήστες του δικτύου πιστοποίηση, και συχνά ασφαλίζει τα δεδομένα με τεχνολογίες κρυπτογράφησης για να εμποδισθεί η διάδοση των ιδιωτικών πληροφοριών σε μη εξουσιοδοτημένους χρήστες. Ένα VPN μπορεί να γίνεται για τη λειτουργικότητα του δικτύου που βρίσκεται σε οποιοδήποτε δίκτυο, όπως η κοινή χρήση των δεδομένων και η πρόσβαση σε πόρους δικτύου, εκτυπωτές, βάσεις δεδομένων, ιστοσελίδες, κλπ. Ένας χρήστης VPN αντιμετωπίζει συνήθως το κεντρικό δίκτυο με τρόπο που είναι ταυτόσημος με το να συνδέεται άμεσα με το κεντρικό δίκτυο. Η τεχνολογία VPN μέσω του κοινόχρηστου ιαδικτύου έχει αντικαταστήσει την ανάγκη διατήρησης ακριβών μισθωμένων γραμμών τηλεπικοινωνιακών κυκλωμάτων σε ευρείες περιοχές εγκαταστάσεων του δικτύου. Η τεχνολογία VPN μειώνει το κόστος, επειδή δεν χρειάζεται φυσική μισθωμένη γραμμή για τη σύνδεση απομακρυσμένων χρηστών σε ένα intranet. Τα συστήματα VPN μπορούν να ταξινομηθούν από: Τα πρωτόκολλα που χρησιμοποιούνται για την σήραγγα της κυκλοφορίας Το Τερματικό σημείο της σήραγγας, δηλαδή, την άκρη πελάτη ή την άκρη του δικτύου παροχής Το εάν προσφέρουν από σελίδα-σε-σελίδα ή απομακρυσμένη σύνδεση πρόσβασης Τα επίπεδα ασφαλείας που παρέχονται Το στρώμα του OSI που παρουσιάζουν για τη σύνδεση του δικτύου, όπως κυκλώματα επιπέδου 2 ή επιπέδου 3 σύνδεσης με το δίκτυο. 10

11 1.2 ΤΙ ΜΑΣ ΠΡΟΣΦΕΡΟΥΝ ΤΑ ΕΙΚΟΝΙΚΑ Ι ΙΩΤΙΚΑ ΙΚΤΥΑ (VPN) Ένα εικονικό ιδιωτικό δίκτυο (VPN) επιτρέπει την διαχείριση ιδιωτικών υπηρεσιών δικτύου για μία οργάνωση ή οργανώσεις πάνω από ένα δημόσιο ή κοινόχρηστο δίκτυο, όπως το ιαδίκτυο ή υπηρεσίας παροχής δικτύου κορμού. Ο κοινός φορέας παροχής υπηρεσιών δικτύου κορμού είναι γνωστός ως τη ραχοκοκαλιά VPN και χρησιμοποιείται για την μεταφορά της κυκλοφορίας για πολλαπλές VPNs, καθώς και ενδεχομένως μη-vpn κυκλοφορίας. Οι VPN συνδέσεις χρησιμοποιούν είτε Point-to-Point Tunneling Protocol (PPTP) ή Layer Two Tunneling Protocol / Internet Protocol security (L2TP/IPSec) πάνω από ένα ενδιάμεσο δίκτυο, όπως το ιαδίκτυο. Με τη χρήση του ιαδικτύου ως μέσο σύνδεσης, τα VPN εξοικονομούν το κόστος των υπεραστικών τηλεφωνικών υπηρεσιών και το κόστος του υλικού που σχετίζεται με τη χρήση dialup ή τις διασυνδέσεις μισθωμένων γραμμών. Μια λύση VPN περιλαμβάνει προηγμένες τεχνολογίες ασφαλείας όπως κρυπτογράφηση δεδομένων, πιστοποίηση, εξουσιοδότηση, και ίκτυο Πρόσβασης Καραντίνα Ελέγχου. Χρησιμοποιώντας VPN, οι διαχειριστές μπορούν να συνδεθούν απομακρυσμένα ή σαν μετακινούμενοι πελάτες (VPN clients) σε ιδιωτικά δίκτυα. Οι απομακρυσμένοι χρήστες μπορούν να εργάζονται σαν να ήταν οι υπολογιστές τους φυσικά συνδεδεμένη με το δίκτυο. Για να επιτευχθεί αυτό, οι VPN πελάτες μπορούν να χρησιμοποιήσουν ένα προφίλ Connection Manager για να ξεκινήσουν μια σύνδεση σε ένα διακομιστή VPN. Ο διακομιστής VPN μπορεί να επικοινωνεί με την Υπηρεσία ελέγχου ταυτότητας ιαδικτύου (IAS) για τον έλεγχο ταυτότητας του διακομιστή και να επιτρέψει μια συνεδρία χρήστη και να διατηρηθεί η σύνδεση μέχρι να καταγγελθεί από τον πελάτη VPN ή με το διακομιστή VPN. Όλες οι υπηρεσίες διατίθενται συνήθως σε ένα LAN με σύνδεση πελάτη (συμπεριλαμβανομένων των αρχείων και εκτυπωτών κοινής χρήσης, την πρόσβαση στο Web server, και μηνυμάτων) όπου ενεργοποιούνται από το VPN. Οι VPN πελάτες μπορούν να χρησιμοποιούν τυποποιημένα εργαλεία για να αποκτήσουν πρόσβαση σε πόρους. Για παράδειγμα, οι πελάτες μπορούν να χρησιμοποιήσουν την Εξερεύνηση των Windows για να κάνουν καθοδηγούμενες 11

12 συνδέσεις και να συνδεθούν με τους εκτυπωτές. Οι συνδέσεις είναι ανθεκτικές: Οι χρήστες δεν χρειάζεται να επανασυνδεθούν με τους πόρους του δικτύου κατά τη διάρκεια των συνεδριών VPN τους. Επειδή τα γράμματα μονάδας δίσκου και Universal Naming Convention (UNC) ονόματα υποστηρίζονται πλήρως από VPN, οι περισσότερες εμπορικές και προσαρμοσμένες εφαρμογές λειτουργούν χωρίς τροποποίηση. 1.3 ΤΕΧΝΟΛΟΓΙΕΣ ΚΑΙ ΠΡΩΤΟΚΟΛΛΑ VPN Ορισμένες από τις τεχνολογίες και τα πρωτόκολλα που χρησιμοποιούνται για να επιτρέψουν site-to-site και remote access VPNs Τεχνολογίες και πρωτόκολλα που χρησιμοποιούνται για την ενεργοποίηση Site-to-site VPNs[6] Στο site-to-site VPNs, η κίνηση δεδομένων του χρήστη πελάτη είναι είτε με tunnel μεταξύ συσκευών πελάτη ή μεταξύ συσκευών παρόχου. Πρωτόκολλα και τις τεχνολογίες που χρησιμοποιούνται για να επιτρέψουν site-to-site VPNs περιλαμβάνουν IP Security (IPSec), Generic Routing Encapsulation (GRE), το Layer Two Tunneling Protocol έκδοση 3 (L2TPv3),Draft Pseudowires Martini, IEEE 802.1Q tunneling (Q-in-Q), και MPLS Label Switched Paths (LSP). Αυτά τα πρωτόκολλα και τεχνολογίες περιγράφονται ως εξής: IPSec-IPSec αποτελείται από μια σουίτα πρωτοκόλλων που αποσκοπούν στην προστασία της IP κίνησης μεταξύ πυλών ασφαλείας ή οικοδεσποτών, καθώς διέρχεται παρεμβαλλόμενα δίκτυα. Τα IPSec tunnels είναι συχνά που χρησιμοποιούνται για την κατασκευή ενός site-to-site μεταξύ συσκευών πελάτη. GRE-GRE μπορεί να χρησιμοποιηθεί για την κατασκευή tunnels και μεταφοράς πολλαπλών πρωτοκόλλων κυκλοφορίας μεταξύ συσκευών πελάτη σε ένα VPN. GRE έχει μικρή ή καθόλου εγγενή ασφάλεια, αλλά τα GRE μπορούν να προστατευθούν με τη χρήση IPSec. Draft Martini (Οποιαδήποτε μεταφορά πάνω από MPLS [AΤoΜ])-η μεταφορά Draft Martini επιτρέπει την point-to-point μεταφορά των πρωτοκόλλων, όπως το 12

13 Frame Relay, ATM, Ethernet, Ethernet VLAN (802.1Q), υψηλού επιπέδου ελέγχου σύνδεσης δεδομένων (HDLC), και PPP κυκλοφορίας πάνω σε MPLS. L2TPv3-L2TPv3 επιτρέπει την point-to-pont μεταφορά πρωτοκόλλων όπως Frame Relay, ATM, Ethernet, Ethernet VLAN, HDLC, PPP και την κυκλοφορία πάνω από ένα IP ή άλλους κορμούς (backbone). IEEE 802.1Q tunneling (Q-in-Q)- Η 802.1Q tunnel επιτρέπει σε έναν φορέα παροχής υπηρεσιών για tagged tunnel Ethernet (802.1Q) για την κίνηση των πελατών πάνω από ένα κοινό κορμό. Η κίνηση του πελάτη 802.1Q διοχετεύεται πάνω από το κοινό κορμό παροχής προσθέτοντας στην αρχή μια άλλη ετικέτα 802.1Q. MPLS LSPs-Ένα LSP είναι ένα μονοπάτι μέσω Routers Switch Label (LSR) σε ένα MPLS δίκτυο. Τα πακέτα αλλάζουν με βάση τις ετικέτες που προηγούνται στο πακέτο. Τα LSP μπορεί να είναι σηματοδοτημένα με την ετικέτα πρωτόκολλου διανομής (TDP), το πρωτόκολλο διανομής ετικετών (LDP), ή το Resource Reservation Protocol (RSVP) Τεχνολογίες και πρωτόκολλα που χρησιμοποιούνται για την ενεργοποίηση Remote Access VPNs[6] Layer 2 Forwarding (L2F) Πρωτόκολλο- To L2F είναι ένα ιδιόκτητο πρωτόκολλο της Cisco που έχει σχεδιαστεί για να επιτρέπει τo tunnel του PPP (ή του πρωτοκόλλου Serial Interface Line [SLIP]) πλαισίου μεταξύ ενός NAS και μιας πύλης VPN που βρίσκεται σε μια κεντρική τοποθεσία. Οι απομακρυσμένοι χρήστες συνδέονται με το NAS, και το πλαίσιο PPP από την απομακρυσμένη πρόσβαση των χρηστών και στη συνέχεια διοχετεύεται μέσω του παρεμβαλλόμενου δικτύου στην VPN πύλη. Το Point-to-Point Tunneling Protocol (PPTP)- Το PPTP είναι ένα πρωτόκολλο που αναπτύχθηκε από μια κοινοπραξία προμηθευτών, συμπεριλαμβανομένων των Microsoft, 3Com, και Ascend Communications. Όπως το L2F, το PPTP επιτρέπει τo tunnel της απομακρυσμένης πρόσβασης του πελάτη πλαισίου PPP μεταξύ ενός NAS και μιας πύλης VPN. Το PPTP επιτρέπει επίσης την δημιουργία ενός tunnel να συσταθεί άμεσα από έναν 13

14 απομακρυσμένο πελάτη σε μια πύλη VPN.Τα PPP ενθυλακωμένα πακέτα που μεταφέρονται με PPTP tunnel, συχνά προστατεύονται με τη χρήση Microsoft Point-to-Point Encryption (MPPE). Οι Layer 2 Tunneling Protocol εκδόσεις 2 και 3 (L2TPv2/L2TPv3)- Το L2TP είναι ένα Internet Engineering Task Force (IETF) πρότυπο και συνδυάζει τα καλύτερα χαρακτηριστικά των L2F και PPTP. Σε ένα περιβάλλον απομακρυσμένης πρόσβασης, το L2TP επιτρέπει είτε το tunnel του απομακρυσμένου πελάτη PPP μέσω NAS σε μια πύλη VPN ή το tunnel του PPP πλαισίου απευθείας από τον απομακρυσμένο πελάτη στην πύλη VPN.Το L2TP έχει περιορισμένη εσωτερική ασφάλεια, και συχνά τα tunnel του L2TP προστατεύονται χρησιμοποιώντας IPSec. IPSec-Εκτός από site-to-site VPN,το IPSec μπορεί επίσης να χρησιμοποιηθεί για την δημιουργία ασφαλούς tunnel διακίνησης δεδομένων μεταξύ χρηστών απομακρυσμένης πρόσβασης ή χρήστες κινητών και μιας πύλη VPN. Το Secure Sockets Layer (SSL)-Το SSL είναι ένα πρωτόκολλο ασφαλείας που αρχικά αναπτύχθηκε από την Netscape Communications (SSL εκδόσεις 1, 2, και 3), και παρέχει ασφαλή απομακρυσμένη πρόσβαση για τους χρήστες κινητών ή οικιακούς χρήστες. Η λειτουργικότητα μπορεί να είναι περιορισμένη (σε σύγκριση με L2F, PPTP, L2TPv2, ή IPSec) εάν είναι Clientless SSL VPNs.Να σημειωθεί ότι το Transport Layer Security (TLS),που είναι ένα πρότυπο IETF, είναι παρόμοιο με το SSLv3.Παρά την περιορισμένη λειτουργικότητα που παρέχεται από Clientless SSL VPNs, ένα πλεονέκτημα αυτού του τύπου της απομακρυσμένης πρόσβασης VPN είναι ότι δεν απαιτείται κάποιο ειδικό λογισμικό πελάτη επειδή το SSL περιλαμβάνεται σε σχεδόν κάθε web browser.ως εκ τούτου, εάν ένας απομακρυσμένος χρήστης έχει ένα πρόγραμμα περιήγησης στο Web, ο χρήστης έχει και το απαραίτητο SSL λογισμικό πελάτη. Επειδή δεν απαιτείται κάπιο ειδικό λογισμικό πελάτη, εκτός από ένα web browser, τα SSL VPNs μερικές φορές αναφέρονται ως web VPNs ή Clientless VPNs. Περισσότερες λειτουργίες μπορούν να προστεθούν στα SSL VPNs με την εγκατάσταση ειδικών SSL VPN λογισμικών πελάτη για την απομακρυσμένη πρόσβαση του πελάτη. 14

15 Εικόνα 1.1 Παράδειγμα τοπολογίας Site-to-Site VPN Εικόνα 1.2 Παράδειγμα τοπολογίας Remote Access VPN 15

16 Εικόνα 1.3 Πίνακας κατηγοριοποίησης VPN. 16

17 Εικόνα 1.4 Πίνακας δυνατοτήτων Site-to-Site VPN 17

18 Εικόνα 1.5 Πίνακας δυνατοτήτων Remote Access VPN 18

19 ΚΕΦΑΛΑΙΟ 2. ΘΕΩΡΗΤΙΚΟ ΥΠΟΒΑΘΡΟ - SSL 2.1 ΕΠΙΣΚΟΠΗΣΗ SSL: ΤΟ SSL RECORD LAYER, ΚΑΙ ΤΟ SSL HANDSHAKE PROTOCOL Το SSL βρίσκεται πάνω από ένα αξιόπιστο πρωτόκολλο, όπως το TCP. Τα Application Data μπορούν τότε να πραγματοποιηθούν στην κορυφή του SSL. Εικόνα 2.1 Πακέτο SSL Το πρωτόκολλο SSL αποτελείται από το Record Protocol και το Handshake Protocol, το Alert Protocol, την αλλαγή του cipher spec protocol, και το application data protocol. Εικόνα 2.2 Ανάλυση πακέτου SSL στο application data 19

20 2.1.1 Record Layer Protocol Το Record Layer Protocol έχει μια σειρά από λειτουργίες συμπεριλαμβανομένων των ακόλουθων: Ο κατακερματισμός, τα Record Protocol τεμάχια/επανασυνδέσεις,δεδομένα για μετάδοση/λήψη εάν χρειαστεί. Συμπίεση, εάν γίνει η διαπραγμάτευση μεταξύ πελάτη και διακομιστή, το Record Protocol συμπιέζει/αποσυμπιέζει τα δεδομένα. Τοποθέτηση MAC, το Record Protocol τοποθετεί/επαληθεύει την Mac. Κρυπτογράφηση, το Record Protocol κρυπτογραφεί/αποκρυπτογραφεί τα δεδομένα Handshake Protocol Το πρωτόκολλο αυτό αποτελείται από έναν αριθμό των μηνυμάτων που ανταλλάσσονται μεταξύ peers (client-server) που επιτρέπουν αυτά τα peers να διαπραγματεύονται την έκδοση SSL, τους αλγόριθμους κρυπτογράφησης και τις άλλες παραμέτρους, την προαιρετική ταυτοποίηση μεταξύ τους και την δημιουργία ενός κοινού μυστικού κλειδιού κρυπτογράφησης χρησιμοποιώντας τεχνικές δημόσιου κλειδιού Alert Protocol Αυτό χρησιμοποιείται για να σηματοδοτήσει τις συνθήκες σφάλματος. Αυτές οι συνθήκες συμπεριλαμβάνουν εκείνα που συμβαίνουν κατά τη διάρκεια μιας χειραψίας SSL, όταν γίνεται η αποκρυπτογράφηση ή ο έλεγχος ακεραιότητας, ή όταν τερματίζει μια σύνδεση Change Cipher Spec Protocol Το πρωτόκολλο αυτό (το οποίο αποτελείται από ένα μόνο είδος μηνύματος) χρησιμοποιείται από τον πελάτη ή διακομιστή για να επισημάνει ότι τα επόμενα SSL μηνύματα θα πρέπει να προστατεύονται με τη χρήση διαπραγματευόμενων κρυπτογραφικών αλγορίθμων, τις παραμέτρους και τα πλήκτρα. 20

21 2.1.5 Application Data Protocol Το Application Data Protocol μεταφέρει δεδομένα από οποιαδήποτε εφαρμογή ή εφαρμογές που τρέχουν μέσω SSL. Αυτά τα δεδομένα μπορεί να περιλαμβάνουν πρωτόκολλα όπως HTTP, FTP, POP3, IMAP4, SMTP καθώς και άλλα υψηλότερου επιπέδου πρωτόκολλα δεδομένων. [3] 2.2 ΤΙ ΕΙΝΑΙ ΤΟ SECURE SOCKETS LAYER VPN Το Secure Sockets Layer (SSL),είναι ένα εικονικό ιδιωτικό δίκτυο (VPN) που παρέχει ασφαλή απομακρυσμένη πρόσβαση σε πόρους ενός οργανισμού. Ένα VPN είναι ένα εικονικό δίκτυο, χτισμένο στην κορυφή των υφιστάμενων φυσικών δικτύων, που μπορεί να προσφέρει έναν ασφαλή μηχανισμό επικοινωνίας για δεδομένα και άλλες πληροφορίες που μεταδίδονται μεταξύ των δύο τελικών σημείων. Επειδή ένα VPN μπορεί να χρησιμοποιηθεί σε υπάρχοντα δίκτυα, όπως το ίκτυο, μπορεί να διευκολύνει την ασφαλή μεταφορά των δεδομένων μέσα από δημόσια δίκτυα. Ένα SSL VPN αποτελείται από μία ή περισσότερες VPN συσκευές στις οποίες οι χρήστες συνδέονται με τη χρήση ενός προγράμματος περιήγησης στο Web. Η κίνηση μεταξύ του προγράμματος περιήγησης στο Web και της SSL VPN συσκευής είναι κρυπτογραφημένες με το πρωτόκολλο SSL ή το διάδοχό του, το Transport Layer Security (TLS) πρωτόκολλο. Αυτός ο τύπος του VPN μπορεί να αναφέρεται είτε ως VPN SSL ή TLS VPN. Αυτός ο οδηγός χρησιμοποιεί τον όρο SSL VPN. SSL VPNs παρέχουν στους απομακρυσμένους χρήστες την πρόσβαση σε εφαρμογές Web και client / server εφαρμογές, καθώς και την συνδεσιμότητα με εσωτερικά δίκτυα. Παρά τη δημοτικότητα του SSL VPN, το SSL VPN δεν προορίζεται να αντικαταστήσει το Internet Protocol Security (IPSec) VPNs. Οι δύο τεχνολογίες VPN είναι συμπληρωματικές και απευθύνονται σε διαφορετικές αρχιτεκτονικές του δικτύου και για διαφορετικές ανάγκες των επιχειρήσεων. SSL VPNs προσφέρουν ευελιξία και ευκολία στη χρήση, επειδή χρησιμοποιούν το πρωτόκολλο SSL, το οποίο περιλαμβάνεται με όλα τα τυπικά προγράμματα περιήγησης στο Web, έτσι 21

22 ώστε ο πελάτης συνήθως να μην χρειάζεται να κάνει κάποια ρύθμιση. Τα SSL VPNs προσφέρουν λεπτομερή έλεγχο, για πολλαπλούς χρήστες σε μια ποικιλία από ηλεκτρονικούς υπολογιστές, και την πρόσβαση σε πόρους από πολλές θέσεις. Υπάρχουν δύο βασικοί τύποι των SSL VPNs: SSL VPNs Portal. Αυτό το είδος του SSL VPN επιτρέπει σε ένα χρήστη να χρησιμοποιεί ένα ενιαίο πρότυπο SSL σύνδεσης σε μια τοποθεσία Web, για να έχει ασφαλή πρόσβαση σε πολλαπλές υπηρεσίες δικτύου. Η πρόσβαση στην τοποθεσία ονομάζεται συνήθως μια πόρτα / πύλη, διότι είναι μία σελίδα που οδηγεί σε πολλούς άλλους πόρους. Ο απομακρυσμένος χρήστης έχει πρόσβαση στην SSL VPN πύλη χρησιμοποιώντας οποιοδήποτε σύγχρονο πρόγραμμα περιήγησης στο Web, προσδιορίζει τον εαυτό του ή τον εαυτό της στην πύλη χρησιμοποιώντας μια μέθοδο ελέγχου ταυτότητας που υποστηρίζεται από την πύλη, και στη συνέχεια παρουσιάζεται σε μια ιστοσελίδα που λειτουργεί ως πύλη προς τις άλλες υπηρεσίες. SSL VPNs Tunnel. Αυτό το είδος του SSL VPN επιτρέπει σε ένα χρήστη να χρησιμοποιήσει ένα τυπικό πρόγραμμα περιήγησης στο Web για να έχει ασφαλή πρόσβαση σε πολλαπλές υπηρεσίες δικτύου, συμπεριλαμβανομένων των εφαρμογών και των πρωτοκόλλων που δεν είναι web-based, μέσω μιας σήραγγας που λειτουργεί υπό SSL.Τα SSL VPNs που χρησιμοποιούν tunnel, απαιτούν ότι το πρόγραμμα περιήγησης στο Web είναι σε θέση να χειριστεί το ενεργό περιεχόμενο, το οποίο τους επιτρέπει να παρέχουν λειτουργίες που δεν είναι προσβάσιμες σε μια SSL VPNs πύλη. Παραδείγματα περιλαμβάνουν ενεργό περιεχόμενο Java, JavaScript, Active X, ή Flash εφαρμογές ή plug-ins. 2.3 Η ΙΣΤΟΡΙΑ ΤΟΥ SSL/TLS VIRTUAL PRIVATE NETWORK Η τελευταία τεχνική ασφαλούς μεταφοράς δεδομένων είναι η χρήση SSL / TLS VPN. Το SSL έχει τεθεί σε λειτουργία από τις αρχές του 90. Το SSL αρχικά αναπτύχθηκε από την Netscape και ήταν ενωμένος με ένα άλλο παρόμοιο υποκατάστατο κώδικα που δημιουργήθηκε από τη Microsoft. Στα τέλη της 22

23 δεκαετίας 90 η IETF δημιούργησε το TLS όπου είναι μια προσπάθεια να παγιωθεί η διαφορετικότητα του SSL σε ένα κοινό, ανοικτό πρότυπο. Το TLS είναι ουσιαστικά το SSLv3 με κάποιες μικρές διορθώσεις και βελτιώσεις. Ο χρήστης SSL VPNs χρησιμοποιεί τα εξαιρετικά ώριμα και διαδεδομένα πρωτόκολλα SSL / TLS για να χειριστεί την δημιουργία tunnel και τα στοιχεία κρυπτογράφησης όπου είναι αναγκαία για την δημιουργία ενός VPN. Το SSL / TLS είναι ένα τυπικό πρωτόκολλο για την κρυπτογράφηση της κυκλοφορίας στο ιαδίκτυο. Είναι πολύ ώριμο και είναι ευρέως διαδομένο και έχει δοκιμαστεί για τρωτά σημεία. Όσο κανένας δεν μπορεί να υπολογίσει πώς να παραγοντίσει μεγάλους pseudo-prime αριθμούς σε ένα μικρό χρονικό διάστημα, το SSL / TLS φαίνεται να είναι σε καλή κατάσταση για να παρέχει την ασφάλεια για αρκετό καιρό ακόμα. Το SSL / TLS είναι πολύ ευκολότερο να εφαρμοστεί από το IPSec και παρέχει μια πλατφόρμα που είναι στερεά, απλή, και καλά ελεγμένη. Είναι σημαντικό να σημειωθεί ότι τα SSL / TLS VPNs είναι σε θέση να κρυπτογραφήσουν συνδέσμους για την κυκλοφορία site-to-site συνδεσιμότητας ακριβώς όπως τα IPSec VPNs. Η RSA χειραψία (ή DH) χρησιμοποιείται ακριβώς όπως το IKE σε IPSec VPN, έπειτα η βιβλιοθήκη κρυπτογράφησης του SSL χρησιμοποιείται για να εξασφαλίσει το συμμετρικό tunnel, και πάλι χρησιμοποιώντας παρόμοιες τεχνικές με αυτές της κρυπτογράφησης και προστασίας ενός IPSec tunnel. Αυτή η σήραγγα μπορεί να περάσει μέσα από αυθαίρετη κίνηση, ακριβώς όπως ένα IPSec VPN. εν υπάρχουν περιορισμοί και τεχνάσματα. 2.4 ΙΑΦΟΡΕΣ SSL ΚΑΙ TLS Η κύρια διαφορά μεταξύ SSL και TLS είναι ότι ενώ οι συνδέσεις SSL αρχίζουν με ασφάλεια και προχωρούν άμεσα στην ασφαλή επικοινωνία, οι TLS συνδέσεις αρχίζουν με μια μη ασφαλής επικοινωνία με το διακομιστή και στρέφονται σε μια ασφαλής επικοινωνία εφόσον έχει γίνει επιτυχώς η χειραψία με τον διακομιστή. Εάν η χειραψία αποτύχει για οποιοδήποτε λόγο, η σύνδεση δεν θα δημιουργηθεί ποτέ. 23

24 Το κύριο όφελος για την επιλογή TLS από το SSL είναι ότι το TLS εισάχθηκε ως πρότυπο μιας ανοιχτής κοινότητας, που σημαίνει ότι το TLS είναι πιο επεκτάσιμο και κατά πάσα πιθανότητα θα υποστηρίζεται ευρύτερα στο μέλλον με άλλα πρότυπα του ιαδικτύου. Το TLS είναι συμβατό και προς τα πίσω,διαθέτουν την ικανότητα να αλλάξουν σε SSL εάν είναι απαραίτητο για να υποστηρίξουν ασφαλής client-side συνδέσεις που καταλαβαίνουν μόνο από SSL. Μια άλλη διαφορά με πιο άμεσο όφελος, είναι ότι το TLS επιτρέπει την ασφαλή και την μη ασφαλή σύνδεση για την ίδια πόρτα, ενώ το SSL απαιτεί μόνο μια καθορισμένη ασφαλής πόρτα. Για τους χρήστες όπου πραγματοποιούν μια σύνδεση σε ένα διακομιστή μέσω POP ή IMAP η χρήση του TLS θα σας επιτρέψει να επιλέξετε για ασφαλής σύνδεση, αλλά εύκολα να στραφούν σε μη ασφαλής σύνδεση εάν αυτό είναι απαραίτητο χωρίς να χρειαστεί να αλλάξει πόρτα, κάτι που δεν είναι δυνατόν να γίνει με το SSL. Εικόνα 2.3 ιαφορές SSL και TLS 2.5 ΚΑΤΗΓΟΡΙΕΣ SSL VPNS SSL Portal VPNs Μια SSL VPN πόρτα επιτρέπει σε ένα χρήστη να χρησιμοποιεί ένα ενιαίο πρότυπο SSL σύνδεσης σε μια τοποθεσία Web, για να έχει ασφαλή πρόσβαση σε πολλαπλές υπηρεσίες δικτύου. Η πρόσβαση στην τοποθεσία ονομάζεται συνήθως 24

25 μια πόρτα/πύλη, επειδή χρησιμοποιεί μία σελίδα που οδηγεί σε πολλούς άλλους πόρους. Η SSL πόρτα λειτουργεί σαν το στρώμα μεταφοράς του OSI όπου χρησιμοποιούν μια ενιαία θύρα δικτύου, δηλαδή την θύρα TCP για προστασία SSL HTTP (443).Ο απομακρυσμένος χρήστης έχει πρόσβαση στην SSL VPN πόρτα χρησιμοποιώντας οποιοδήποτε σύγχρονο πρόγραμμα περιήγησης στο Web, προσδιορίζει τον εαυτό του ή τον εαυτό της στην πύλη χρησιμοποιώντας μια μέθοδο ελέγχου ταυτότητας που υποστηρίζεται από την πόρτα, και στη συνέχεια, παρουσιάζεται σε μια ιστοσελίδα που λειτουργεί ως πύλη προς τις άλλες υπηρεσίες. Οι άλλες υπηρεσίες μπορούν συνδεθούν με άλλους διακομιστές Web, κοινούς καταλόγους αρχείων, Web-based συστημάτων ηλεκτρονικού ταχυδρομείου, εφαρμογές που τρέχουν σε προστατευμένους servers, και κάθε άλλη υπηρεσία που μπορεί να διοχετευθεί μέσω μιας ιστοσελίδας. Προς τον χρήστη, μία SSL VPN πόρτα είναι ένα Web site με περισσότερες επιλογές από υπηρεσίες που είναι διαθέσιμες αφού ο χρήστης έχει πιστοποιηθεί. Για να αποκτήσει πρόσβαση σε μια SSL VPN πόρτα, ο χρήστης εισάγει το URL της πύλης σε ένα πρόγραμμα περιήγησης του Web, όπως ακριβώς ο χρήστης θα εισάγε τη διεύθυνση URL για οποιαδήποτε άλλη ιστοσελίδα. Αυτές οι διευθύνσεις URL χρησιμοποιούν συνήθως το να ξεκινήσει αμέσως το SSL, αλλά πολλοί SSL VPNs επιτρέπουν στους χρήστες να εισέλθουν για πρώτη φορά με την χρήση που στη συνέχεια ανακατευθύνει σε μια ασφαλή θύρα SSL.Η SSL VPNs πόρτα λειτουργεί ουσιαστικά με οποιοδήποτε σύγχρονο πρόγραμμα περιήγησης στο Web. Συγκεκριμένα, εργάζονται σε προγράμματα περιήγησης εάν ή όχι οι browsers επιτρέπουν (ή υποστηρίζουν) το ενεργό περιεχόμενο. Έτσι, η SSL VPNs πόρτα είναι προσβάσιμη σε περισσότερους χρήστες από ενός SSL VPNs tunnel SSL Tunnel VPNs Ένα SSL tunnel VPN επιτρέπει σε ένα χρήστη να χρησιμοποιήσει ένα τυπικό πρόγραμμα περιήγησης στο Web για να έχει ασφαλή πρόσβαση σε πολλαπλές υπηρεσιών δικτύου μέσω ενός Tunnel που λειτουργεί σε SSL. 25

26 Τα SSL tunnel VPNs απαιτούν ότι το πρόγραμμα περιήγησης στο Web είναι σε θέση να χειριστεί συγκεκριμένους τύπους ενεργού περιεχομένου (π.χ., Java, JavaScript, Flash, ή ActiveX), και ότι ο χρήστης είναι σε θέση να τους τρέξει. (Τα περισσότερα προγράμματα που χειρίζονται τέτοιες εφαρμογές και plug-ins, επιτρέπουν στο χρήστη ή διαχειριστή να τα εμποδίσουν να εκτελεστούν.)το tunnel σε ένα SSL tunnel VPN είναι παρόμοιο και παράλληλα διαφορετικό από το tunnel που έχουμε δει σε ένα τυπικό IPSec VPNs. Οι δύο τύποι των tunnel είναι σχεδόν παρόμοιες σε ότι αφόρα το σύνολο της κυκλοφορίας IP όπου προστατεύεται σχεδόν πλήρως από το tunnel, δίνοντας στο χρήστη τη δυνατότητα πλήρους πρόσβασης σε υπηρεσίες του δικτύου που προστατεύονται από την πόρτα VPN. Τα tunnel είναι αρκετά διαφορετικά διότι τα SSL / Tunnel VPN συνήθως δημιουργούνται σε SSL χωρίς να χρησιμοποιούν κάποια τυπική μέθοδος δημιουργίας των tunnel, ενώ τα IPSec tunnel δημιουργούνται με τις μεθόδους που περιγράφονται στο πρότυπο IPSec. Η σύνδεση σε ένα SSL VPN tunnel επιτρέπει μια ευρεία ποικιλία πρωτοκόλλων και εφαρμογές να τρέχουν μέσα από αυτό. Για παράδειγμα, κατ 'ουσίαν, κάθε πρωτόκολλο που τρέχει πάνω από το TCP ή UDP μπορεί να διοχετεύεται μέσω μιας τέτοιας πόρτας, κάνοντας την εμπειρία των απομακρυσμένων προστατευμένων χρηστών του δικτύου αρκετά παρόμοια με την ύπαρξη απευθείας σύνδεσης στο δίκτυο. Προς τον χρήστη, ένα SSL VPN tunnel μπορεί να φαίνεται αρκετά διαφορετικό από μια τυπική ιστοσελίδα, λόγο της σύνδεσης του tunnel plug-in ή της εφαρμογής επειδή θα πρέπει να φορτώνονται πρώτα στο πρόγραμμα περιήγησης του χρήστη και αφετέρου ο χρήστης μπορεί να έχει πρόσβαση στο VPN. Αυτό μπορεί να περιλαμβάνει προειδοποιητικά μηνύματα σχετικά με το λογισμικό που φορτώνεται, και θα μπορούσε επίσης να αποτρέψει τους χρήστες από την είσοδο στο VPN εάν το πρόγραμμα περιήγησης του Web δεν τους έδωσε εντολή να επιτρέπουν τέτοια προγράμματα να τρέξουν. Λόγω της απαίτησης του ενεργού περιεχομένου, τα SSL tunnel VPNs μπορούν να είναι προσβάσιμα από λιγότερους χρήστες απ ότι σε μια SSL VPNs πόρτα. 26

27 2.6 ΥΝΑΤΟΤΗΤΕΣ SSL VPNS Η παροχή ασφαλής απομακρυσμένης πρόσβασης σε μια ευρεία ποικιλία των χρηστών και των συσκευών σε πολλές περιοχές έχει ως αποτέλεσμα ένα διαφορετικό σύνολο SSL VPN υπηρεσιών και λειτουργιών. Τα SSL VPNs έχουν μία ή περισσότερες από τις ακόλουθες τρεις βασικές λειτουργίες: Proxying. Ένα proxy είναι μια ενδιάμεση συσκευή ή ένα πρόγραμμα που παρέχει την επικοινωνία και άλλες υπηρεσίες μεταξύ ενός πελάτη και του διακομιστή. Έχει την ικανότητα να αυτοπαρουσιάζεται ως το διακομιστή στον πελάτη, και το αντίστροφο. Ο proxy μπορεί να εξυπηρετήσει τις αιτήσεις εσωτερικά ή να μεταφράσει τις πληροφορίες και να τις δώσει σε άλλους servers. Proxying είναι μια βασική λειτουργία μιας SSL VPN πόρτας. Η απλούστερη μορφή μιας SSL VPN πόρτας περιλαμβάνει ασφαλή proxying των ιστοσελίδων. Μια SSL VPN πόρτα λειτουργεί ως πύλη μεσολάβησης της κυκλοφορίας μεταξύ του χρήστη και της εφαρμογής. Λαμβάνει το αίτημα από τον χρήστη, συνδέεται με το διακομιστή Web, κατεβάζει τις πληροφορίες, και στέλνει τις πληροφορίες πίσω στο χρήστη κατά τη διάρκεια της σύνδεσης SSL. Ο proxy εκτελεί την κρυπτογράφηση ή αποκρυπτογράφηση του περιεχομένου και ελέγχου σε κάθε πακέτο, το οποίο προκαλεί ελαφρώς την πιο αργή απόδοση. Application Translation.Application translation μετατρέπει τις πληροφορίες από το ένα πρωτόκολλο στο άλλο. Συχνά χρησιμοποιείται για να μετατρέψει μια κληρονομιά ή κάποιο ιδιόκτητο πρωτόκολλο σε μια ένα πιο ευρέως χρησιμοποιούμενο πρότυπο ή πρωτόκολλο. Χρησιμοποιείται επίσης για τη διευκόλυνση της ολοκλήρωσης του συστήματος και της επικοινωνίας μεταξύ των εφαρμογών και των συσκευών. Το application translation χρησιμοποιεί proxying να αλληλεπιδράσει με τις δύο πλευρές της σύνδεσης με το κατάλληλο πρωτόκολλο.οι SSL VPNs πόρτες χρησιμοποιούν application translation για εφαρμογές που δεν είναι Web-enabled. Αυτό επιτρέπει στους χρήστες να χρησιμοποιούν ένα πρόγραμμα περιήγησης στο Web για να 27