SlideShare une entreprise Scribd logo

Vpn mreji 105227

Télécharger en tant que DOCX, PDF
S
SvilenaRRuseva

Referat - Bezasnost i zashtitia na VPN-mreji

Technologie
1  sur  17
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 РЕФЕРАТ БЕЗОПАСНОСТ И ЗАЩИТА НА MICROSOFT МРЕЖИ И ПРИЛОЖЕНИЯ Тема: Безопасност и защита на VPN-мрежи Изготвил: Проверил: Свилена Росенова Русева Доц. д-р Стефан Дражев фак. № 105227, група 64, курс 5 Ас. Радка Начева специалност Информатика
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 2 | С т р . Съдържание Въведение .........................................................................................................................................3 Понятието VPN.................................................................................................................................3 Сигурност на VPN............................................................................................................................5 VPN протоколи .................................................................................................................................6 Тунелни протоколи......................................................................................................................8 Протоколи за криптиране........................................................................................................ 10 Типове атаки използвани срещу VPN ..................................................................................... 12 Атаки срещу PPTP и защити, подобрения на Misrosoft ...................................................... 12 Заключение .................................................................................................................................... 16 Използвана литература .............................................................................................................. 17
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 3 | С т р . Въведение Виртуална частна мрежа или VPN (Virtual Private Network) е компютърна мрежа, логически изградена чрез криптиране, използваща физическата и програмна инфраструктура на по-голяма обществена мрежа, най-често Интернет. Съществуват 3 основни приложения на виртуалните частни мрежи — прехвърляне на работата (аутсоурсинг) по отдалечен достъп, разширени интранет мрежи и разширени екстранет мрежи. Виртуалните частни мрежи обикновено криптират трафика между отделните хостове в Интернет и така допринасят за информационната сигурност на използващите ги организации. Понятието VPN Виртуална частна мрежа (VPN) е разширение на частна мрежа в цялата публична мрежа, като например Интернет. Тя дава възможност на един компютър или активирани мрежови устройства да изпращат и получават данни през споделени или публични мрежи все едно са пряко свързани с частната мрежа, като същевременно се възползва от политиката на функционалността, сигурността и управлението на частната мрежа. VPN се осъществява чрез създаване на виртуална връзка от-точка-до-точка, чрез използването на специализирани връзки, виртуални протоколи, тунели и криптиране на трафика. За да наподобри връзката от-точка-до- точка, данните се капсулират или увиват с хедър. Това осигурява информация на маршрутите да преминат през споделени или обществени вътрешни мрежи и да достигнат своята крайна точка. В частната връзка изпратените данни са криптирани за поверителност. Пакетите, които са заловени в споделените или обществените мрежи са неразбираеми без криптиращите ключове. Частта на връзката, в която са капсулирани личните данни се нарича тунел. Частта от връзката, в която са криптирани личните данните се нарича виртуална частна мрежа (VPN). Основни приложения на виртуални частни мрежи включват OpenVPN и IPsec. VPN връзката през Интернет логически функционира като WAN връзка през наета линия. От гледна точка на потребителя, разширените мрежови ресурси са достъпни по същия начин, както мрежовите ресурси в рамките на частните мрежи. VPN използват удостоверени връзки, за да се гарантира, че само оторизирани
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 4 | С т р . потребители могат да се свързват с Вашата мрежа. Освен това се използва шифроване, за да се елиминира възможността други хора да прихванат и използват данните, пътуващи по Интернет. Windows XP постига това ниво на сигурност чрез използване на протокола Point-to-Point Tunneling (PPTP) или Layer Two Tunneling (L2TP). Протокол за "тунелиране" е технология, осигуряваща по-високо ниво на сигурност при прехвърляне на информация по Интернет от един компютър на друг. Основното ограничение на традиционните VPN мрежи е, че те са от-точка-до-точка и не са склонни да поддържат или да се свързват с домейни. Затова комуникацията, софтуера и мрежите, които се основават на Layer 2 и broadcast пакети като NetBIOS, използвани в Windows мрежите, може да не се поддържат изцяло или да не работят точно така, както биха изглеждали в реален LAN. Варианти на VPN, като Virtual Private LAN Service (VPLS) и Layer 2 протоколни тунели са предназначени за преодоляване на това ограничение. Виртуалните частни мрежи позволяват на служителите сигурен достъп до интранет мрежата на организацията си, когато се намират извън офиса. По същия начин, виртуални частни мрежи свързват географски отдалечени офиси на една организация, създавайки една сплотена мрежа (Фиг.1). VPN технологията се използва и от отделните потребители на Интернет, за да се осигурят техните безжични транзакции, да се заобиколят гео ограниченията и цензурата и да се свържат с прокси сървъри с цел защита на личната идентичност и местоположението.
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 5 | С т р . Фиг. 1 – VPN мрежа Сигурност на VPN Сигурността на VPN има три компонента:  Автентикация  Авторизация  Криптиране Автентификацията /Аутентикация/ - още една стъпка, определяща за сигурността при VPN комуникацията е аутентикацията. На тази стъпка, получателят на данните определя дали изпращача наистина е този, за който се представя (User/System Authentication) и дали данните са били пренасочвани или повредени по пътя (Data Authentication). Автентикацията на VPN клиента включва проверката за истинност на самоличността на машината и на потребителя, който инициира VPN връзката. Автентикацията може да бъде осъществена на нивото на машината. Например, когато една VPN връзка, базирана на Windows, използва IPSec за L2TP VPN сертификатите на машините се обменят като част от изграждането на IPSec
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 6 | С т р . асоциация за сигурност. Потребителят може да бъде автентициран с помощта на един от няколкото метода за автентикация, като Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (CHAP) и Shiva PAP (SPAP). Авторизацията означава зададените ограничения, на базата на които на едни от потребителите се предоставя достъп до VPN, а на други се отказва. За защита на данните във VPN мрежи могат да бъдат използвани най- различни технологии за криптиране. Много VPN реализации позволяват потребителя да избере метода за криптиране, който трябва да бъде използван. Криптирането осигурява сигурност на данни, които пътуват по VPN. Без тази сигурност данните биха могли лесно да бъдат прихванати, докато се предават по обществената мрежа. Криптирането е техника на кодиране и разкодиране на информация. На всеки край на VPN тунела има VPN gateway в софтуерна или в хардуерна форма. Gateway-a на изпращача криптира информацията преди да я изпрати по тунела през Интернет. VPN gateway-я на получателя декриптира информацията. Ключът е код, който криптиращият алгоритъм използва, за да създаде уникална кодирана информация. Нивото на сигурност зависи непосредствено от дължината на използваните ключове. VPN продуктите днес използват 168 и повече bit-ови ключове. Повечето VPN използват IPSec технологии. IPSec е съвместим с повечето различен VPN хардуер и софтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен достъп. Даден IPSec тунел основно играе ролята на мрежов слой, който предпазва всичките пакети от информация, които преминават, независимо от приложението. VPN протоколи Във виртуалните частни мрежи се използват три типа протоколи:  Тунелен протокол (VPN протокол) - използва се за изграждане на тунела (Фиг. 2).
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 7 | С т р .  Протокол за криптиране (протокол за сигурност) - използва се за сигурност на данни.  Мрежов/транспортен протокол (LAN протокол) - използва се за комуникация по частната мрежа. Фиг. 2 – VPN връзка представена чрез тунел За криптиране могат да бъдат използвани т.нар. тунелиращи протоколи, някои от тях които са публично достъпни:  IPsec - протокол, ESP - тунелиращ мод — може да бъде използван за отдалечен достъп и в локална мрежа;  L2TP - използван само за отдалечен достъп;  L2F - тунелиращ протокол;  PPTP протокол на Microsoft, използващ Point-to-Point криптиране на Microsoft  едно от решенията е също употребата на SSL VPN, чрез което се предоставя достъп до ресурсите на информационната система на компанията чрез криптирана връзка, все пак пакети не се транспортират в мрежата на организацията.
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 8 | С т р . Тунелни протоколи  PPTP Тунелните протоколи капсулират данните така, че хедърите на оригиналния протокол се обвиват вътре в капсулиращите хедъри. PPTP е първият VPN протокол, който се поддържа от Microsoft Dial-Up Networking. Протокол от слой 2 за изграждане на WANs, изграден е на основата на Point-to-Point Protocol (PPP) и осигурява капсулирането и маршрутизацията на мрежови трафик през несигурна обществена мрежа (например Интернет). Начин на работа: 1. PPTP капсулира PPP фрейм, който може да бъде IP, IPX или NetBEUI пакет, във вътрешността на Generic Routing Encapsulation (GRE) хедър. Добавя се IP хедър за осигуряване на IP адресите на източника и на местоназначението. Адресът на източника е този на VPN клиента, а адресът на местоназначението е този на VPN сървъра. 2. Данните в оригиналната диаграма обикновено са криптирани. VPN мрежите на Microsoft използват протокола MPPE заедно с PPTP за осигуряване на сигурни комуникации.  L2F L2F или Layer 2 Forwarding тунелиращ протокол, който е разработен от Cisco Systems и включва техния софтуер IOS. Като алтернатива на PPTP, L2F има възможност да използва ATM и Frame Relay протоколи за тунелиране. За разлика от PPTP, който изисква IP, за да работи L2F не изисква. L2F не осигурява криптиране или поверителност. Разчита на протокола за тунелиране, за да осигури неприкосновеност. L2F осигурява автентикация на крайните точки на тунела.  L2TP L2TP протокола е резултат от сътрудничеството на Microsoft и Cisco, той е комбинация от възможностите на PPTP и L2F. L2TP капсулира данните за
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 9 | С т р . изпращане по IP (както прави PPTP), но може да ги капсулира и за изпращане по ATM, Frame Relay и X.25. Предимства на L2TP пред PPTP: - L2TP поддържа множество тунели между крайни точки. Това позволява създаване на множество тунели, които поддържат различно качество на услугата (QoS). - L2TP поддържа компресиране на хедъри, което спестява допълнително информация. - L2TP работи по не-IP интернет мрежи, използващи ATM или Frame Relay виртуални вериги.  IPSec IPSec може да бъде използван за криптиране на данни, които текат през тунел изграден от друг протокол, например L2TP. Той може да бъде използван и за изграждане на тунел, когато действа в режим на тунелиране. В режима на тунелиране IPSec може да бъде конфигуриран за защита на данните между два IP адреса или между две IP подмрежи. IPSec може да използва един или два протокола: Authentication Header (AH) и Encapsulation Security Payload (ESP). - AH тунелен режим - използван сам по себе си, не осигурява криптиране на данните, които пътуват през тунела. Той верифицира, че данните не са пипани и автентицира изпращача. При AH не може да бъде направена никаква промяна на адреса на източника или местоназначението от момента, в който пакетът напусне началната точка на тунела. - ESP тунелен режим - адресите на първоначалния източник и крайното местоназначение се съдържат в оргиналния капсулиран IP хедър. Външният хедър обикновено съдържа адресите на шлюзовете. ESP тунелът криптира данните с помощта на алгоритмите DES или 3DES.
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 10 | С т р .  SSH/SSH2 Първоначално SSH е бил предназначен за осигуряване на сигурна алтернатива на Unix r командите, като: rsh, rlogin, rcp. SSH2 се е развил като сигурен тунелен протокол, който може да се използва за създаване на VPN мрежа, работеща под Linux или Unix. Типът на VPN мрежата изградена с SSH2, се нарича VPN на ниво верига. При този вид VPN шлюзовете работят в сесийния слой на OSI модела. SSH клиентския софтуер е достъпен и за Windows. SSH може да бъде инсталиран на защитна стена, а тунелът да бъде изграден от SSH клиент с dial-up Интернет достъп до защитната стена. Защитната стена може да бъде конфигурирана да препраща трафика до 5 сървъра по вътрешната мрежа. Това е решение на VPN връзки, но с ниска производителност. SSH изисква акаунт за логване.  CIPE CIPE представлява драйвер за ядрото на Linux, който може да бъде използван за осигуряване на сигурен тунел между две IP подмрежи. Данните се криптират в мрежовия слой на OSI модела. Това криптиране се нарича криптиране на ниско ниво. Предимството на този вид криптиране пред криптирането на високо ниво е, че при него не трябва да бъдат правени никакви промени на приложния софтуер, когато две мрежи се свързват с помощта на VPN. CIPE е по-прост и ефективен от IPSec. Протоколи за криптиране  MPPE MPPE се използва с PPTP - базирани VPN връзки (или PPP dial-up връзки) и може да използва криптиращ алгоритъм с 40, 56 или 128-битов ключ.  IPSec криптиране IPSec използва DES или 3DES за криптиране на данните в L2TP тунел. Използването на комбинация от криптографско-базирани алгоритми и ключове
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 11 | С т р . прави информацията много сигурна. Алгоритъмът на Дифи-Хелман позволява сигурен обмен на споделен ключ без изпращане на самия ключ по мрежата.  VPNd криптиране: Blowfish VPNd за Linux използва криптиращ алгоритъм Blowfish. Това е 64-битов алгоритъм, който може да използва ключове с променлива дължина, от 32- бита до 448-бита. Той е бърз и неговия сорс код е достъпен. Съществуват няколко варианта: GOLDFISH, DOSFISH и TWOFISH.  SSH криптиране SSH (Secure SHell) е мрежов протокол, позволяващкриптирано предаване на данни. Разработен е от SSH Communications Security Ltd. Най-често се използва за изпълняване на команди на отдалечена машина, прехвърляне на файлове от една машина на друга и самото й менажиране. Предоставя високо ниво на автентификация и сигурност по време на комуникацията между машините през незащитена връзка. Проектиран е да замести подобни протоколи, като например TELNET, rsh и rexec на Бъркли, rlogin, rcp, rdist. Всеки път, когато от компютър се изпращат данни към мрежата, SSH автоматично ги криптира. След получаването им от крайния потребител, SSH отново автоматично ги декриптира. Този процес се нарича прозрачно криптиране (transparent encryption). Така потребителите могат да работят нормално, без да подозират, че техните съобщения се криптират, така че да бъдат безопасно използвани в мрежата. SSH използва клиент/сървър архитектура. На сървъра се инсталира SSH програма от системния администратор, която приема или отхвърля изпратените заявки от SSH клиент до самата нея. Всички заявки между клиента и сървъра са сигурно криптирани, за да не могат да бъдат модифицирани. SSH може да бъде използван от машини с различна операционна система, като Windows, Unix, Macintonsh и OS/2.
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 12 | С т р .  LAN протоколи За да могат VPN клиентът и сървърът да комуникират, те трябва да имат общ стек от мрежови/транспортни протоколи. Това може да бъде TCP/IP, но не е задължително. Дори и при PPTP връзка, който изисква IP, частната мрежа може да използват IPX/SPX или NetBEUI. Типове атаки използвани срещу VPN Атаките срещу VPN основно се разделят на 4 вида:  Impersonation атаки - атаки, при които атакуващия се представя за друг човек. Методите за автентикация поддържани от PPTP могат да намалят ефективността на този тип атаки.  Integrity атаки - атаки, при които информацията изпратена от потребителя се модифицира. По принцип е невъзможно предпазването от този тип атаки, най- доброто, което може да се направи е да се разпознае модификацията. Електронните подписи са също защита срещу този тип атаки.  Disclosure атаки - атаки в резултат, на които информацията се получава от човек, за който не е предназначена. Вредата от този тип атака зависи от съдържанието на информацията. Защитата от този тип атаки е използването на силни криптографски алгоритми.  Отказ на услуга (Denial of service) - целта на тези атаки е да откажат услуга на валидни потребители. Практически невъзможно и най-трудно е предпазването от този тип атаки. Атаки срещу PPTP и защити, подобрения на Misrosoft  Dictionary Attacks Този тип атаки се състоят в това, че се използва голям списък от думи и чрез изпробване, атакуващия се опитва да открие паролата. Криптираната парола се сравнява с всяка дума от списъка (също криптирана), докато се открие съвпадение. Всички видове автентикация използващи пароли са уязвими на този тип атака. LAN
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 13 | С т р . Manager authentication е особено уязвим. По тази причина не се поддържа в MS- CHAP v2. Използва се Windows NT метода за автентикация, който е по-устойчив на този тип атаки.  Server Spoofing Тъй като се автентицира само PPTP клиента, възможно е фалшив PPTP сървър да се представи за истинския. Фалшивият сървър може и да не успее да разкодира информацията, която изпраща клиента, но ще събере доста информация, криптирана с един и същи ключ, което може да е полезно. Освен това, сървъра може да поиска от клиента да си смени паролата използвайки старата версия на MS- CHAP (CPW1). CPW1 е така проектиран, че фалшивият сървър може да притежава хеша на паролата на клиента и може да я използва, за да се представя с нея на истинския PPTP сървър или на RAS сървър. В MS-CHAP v2 този проблем е отстранен, автентикацията се прави ръчно (manual), което прави атаката по-трудна. Ръчно (manual) автентикация означава, че не само клиента се автентицира пред сървъра, но и сървъра се автентицира пред клиента.  Слаби криптиращи ключове Криптиращите ключове използвани от MPPE се извличат от потребителската парола. Ако паролата е несигурна, то и ключа ще бъде също толкова слаб. Подобрението на Microsoft, което е включено в Windows NT 4.0 Service Pack 2, Service Pack 3, Service Pack 4 е, че системата може да провери избора на 12 потребителя, дали паролата има минималната дължина и е случайна (не е дума от речник).  Повторна употреба на същия криптиращ ключ Когато 40-битов криптиращ ключ е създаден, същият ключ за криптиране се използва във всички следващи PPTP сесии, докато потребителя не си смени паролата. Това е така, защото само паролата се използва за извличането на 40-
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 14 | С т р . битовия ключ, без друга допълнителна уникална информация за самата сесия. 128- битовия ключ няма този проблем, защото за неговото извличане се използва уникална за сесията информация. Същият ключ се използва за изпращане и за получаване на информация, което означава, че една и съща информация е криптирана с един и същи ключ всеки път. В MS-CHAP v2 за извличането на 40- битовия и 128-битовия се използва уникална информация от сесията. В двете посоки (получаване и изпращане) се използват различни ключове.  Синхронизация на ключовете в MPPE MPPE променя ключа за криптиране на всеки 256 пакета или когато се изгуби пакет. Ако получателя забележи, че има липсващ пакет, казва на изпращащия да промени ключа и да започне синхронизацията от начало. Това позволява на евентуален атакуващ да направи атака с отказ на услугата и да модифицира (брояча) времето на пакета или да предизвика ресинхронизация. За да се избегне тази атака в PPTP МPPE сменя ключа на всеки пакет.  PPP измами при уговарянето (Negotiation Spoofing) PPP уговорките между PPTP клиента и сървъра са некриптирани и без автентикация. По тази причина е възможно атакуващ да измами с PPP пакет, такъв който съдържа адреса на DNS сървъра или IP адрес, който да бъде използван от клиента. Може също така да бъде модифицирана информация в пакета.  Пасивно Наблюдение Наблюдавайки PPTP контрола и каналите за информация по време на тунелирането може да се получи различна информация за PPTP сървъра и клиента. Тази информация включва: IP адресите на клиента и на сървъра, вътрешния IP адрес на клиента на PPTP - тунела, адресите на външните DNS сървъри, дадени на клиента и потребителското име на клиента. В MS-CHAP v2 са направени промени, които подобряват сигурността на PPTP протокола. Основният проблем с
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 15 | С т р . автентикацията и криптирането е, че те са толкова сигурни, колкото сигурна парола е избрал потребителя. Колкото по-бързи стават компютрите и атаките срещу паролите стават по-осъществими и се достига до разбиването им. Списъка с лоши пароли включва думи като: думи от речник, думи със случайно разместени букви, думи допълнени с числа, думи, в които букви са заместени с числа, обърнати думи, думи образувани от началните букви на други думи. Могат да се използват протоколи за автентикация и размяна на ключове, които не позволяват да се прави dictionary-атаки върху паролите на потребителите.  Сигурност на VPN създаден с IPSec IPSec използва стандартния начин за защита на данните с криптиращи алгоритми, както и използването на ключове за автентикация. IP Security Protocol, определя информацията, която трябва да се добави към IP пакета, за да се осигури поверителността, достоверността на информацията, определя как да бъде криптиран пакета. IKE (Internet Key Exchange) е протокол, управляващ размяната на ключове и се използва заедно с IPSec. Той осигурява на IPSec допълнителни предимства, гъвкавост и лесно конфигуриране. Осигурява сигурна комуникация на IPSec без да изисква допълнително преконфигуриране и осигурява сигурна размяна на криптиращите ключове. Проблемите, които може да се появят при използването на IPSec VPN зависят от имплементацията. Сигурността при използването на публични ключове е толкова добра, колкото добър е механизмът за защита на частния ключ. Повечето IPSec имплементации поддържат сертифициране. Те генерират по-силни ключове от механизмите основани на генериране на ключ, използвайки паролите. Проблема е, че някои имплементации на IPSec използват сертификати базирани на машината без едновременно с това да използват автентициране на потребителя. Ако клиентската машина се използва от повече от един човек, упълномощения достъп до мрежата, основан на машинен сертификат, създава дупка в сигурността. Предимствата на IPSec пред PPTP са, че не поддържа автентикация на ниво потребител (както паролите при PPTP) и използва автентикация с размяна на ключове.
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 16 | С т р .  Сигурност на L2TP Сигурността на L2TP зависи от имплементацията. Стандартно VPN изградена с L2TP използва IPSec, за да осигури защита на информацията. При такива имплементации PPP-автентикация обикновено се използва заедно с IPSec. Заключение Частните виртуални мрежи (VPN - Virtual Private Networks) са много повече от „тунел” за отдалечен достъп на служителите до централния работен сървър. VPN може да бъде и полезен инструмент за защита на он-лайн неприкосновеността. VPN е една виртуална версия на сигурна физическа мрежа от компютри, свързани помежду си за споделяне на файлове и други ресурси. VPN мрежите се свързват с външния свят посредством Интернет, като генерират допълнителен трафик на корпоративната връзка. Модерните VPN връзки са криптирани, така че компютрите, устройствата и другите мрежи се свързват посредством криптирани тунели. Вие имате най-малко четири причини, за да започнете да използвате VPN. Първо, може да се използва, за да се свържите сигурно към отдалечена мрежа чрез Интернет. Повечето компании така са конфигурирали VPN, че служителите да имат достъп до файлове, приложения, принтери и други ресурси в офисната мрежа без компромиси в сигурността, но вие също така може да си направите и свой, собствен VPN за сигурен достъп до Вашата домашна мрежа. Второ, VPN е много полезен за сигурно свързване на няколко мрежи. Именно поради тази причина повечето фирми (малки и големи) разчитат на VPN за споделяне на сървъри и други мрежови ресурси между множество офиси по целия свят. На трето място, ако сте загрижени за вашата он-лайн неприкосновеност, докато сте с криптирана VPN връзка, даже и когато сте свързани с Интернет посредством ненадеждна обществена мрежа (като Wi-Fi точка за достъп в хотел, магазин или Интернет кафе), това Ви осигурява проста и интелигентна защита. Тъй като VPN криптира Вашия Интернет трафик, това помага да се попречат опити за улавяне на Вашите пароли. На четвърто място, най-добрата причина за използване на VPN е заобикаляне на регионалните ограничения на някои сайтове, известни като „геоблокинг”.
ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 17 | С т р . Използвана литература 1. Дж. Скамбрей, Ст. МакКлър, Дж.Къртс, „Защита от хакерски атаки”, СофтПрес, 2001 2. http://bg.wikipedia.org/wiki/%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B 0%D0%BB%D0%BD%D0%B0_%D1%87%D0%B0%D1%81%D1%82%D0%BD%D 0%B0_%D0%BC%D1%80%D0%B5%D0%B6%D0%B0 3. https://technet.microsoft.com/en-us/library/bb742566.aspx 4. http://www.softether.org/1- features/1._Ultimate_Powerful_VPN_Connectivity#SoftEther_VPN's_Solution:_Usin g_HTTPS_Protocol_to_Establish_VPN_Tunnels 5. www.cisco.com 6. http://pcworld.bg/12368_shto_e_to_vpn 7. http://techs-mobile.blogspot.com/2010/03/vpn.html 8. http://support2.microsoft.com/kb/314076/bg 9. http://pcworld.bg/21795_kak_i_zashto_dnes_se_instalira_vpn

Recommandé

Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
Ema Angelova
 
VPN Security
VPN SecurityVPN Security
VPN Security
LogMan Graduate School on Knowledge Economy
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
mApTu
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 
10724 vpn
10724 vpn10724 vpn
10724 vpn
Veselin Velichkov
 
защити на Wi
защити на Wiзащити на Wi
защити на Wi
Iliya Iliev
 

Recommandé

Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
Ema Angelova
 
VPN Security
VPN SecurityVPN Security
VPN Security
LogMan Graduate School on Knowledge Economy
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
mApTu
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежи
Vqra Velinova
 
10724 vpn
10724 vpn10724 vpn
10724 vpn
Veselin Velichkov
 
защити на Wi
защити на Wiзащити на Wi
защити на Wi
Iliya Iliev
 
защити на Wi
защити на Wiзащити на Wi
защити на Wi
Iliya Iliev
 
Virtual Private Networks Security Presents
Virtual Private Networks Security PresentsVirtual Private Networks Security Presents
Virtual Private Networks Security Presents
LogMan Graduate School on Knowledge Economy
 
Vpn
VpnVpn
Vpn
Veselin Velichkov
 
Web Security Intro
Web Security IntroWeb Security Intro
Web Security Intro
LogMan Graduate School on Knowledge Economy
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
radopetrov
 
4684
46844684
4684
Tsvetan Petrakiev
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
SvilenaRRuseva
 
Milena- wifi
Milena- wifiMilena- wifi
Milena- wifi
Milena Yordanova
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тях
University of Economics - Varna
 
Презентация - sniffing атаки
Презентация - sniffing атакиПрезентация - sniffing атаки
Презентация - sniffing атаки
University of Economics - Varna
 
Wi-Fi Security
Wi-Fi SecurityWi-Fi Security
Wi-Fi Security
Iliya Iliev
 
Virtual Private Networks Security
Virtual Private Networks SecurityVirtual Private Networks Security
Virtual Private Networks Security
LogMan Graduate School on Knowledge Economy
 
безопасност и защита на Wi
безопасност и защита на Wiбезопасност и защита на Wi
безопасност и защита на Wi
Ines Slavova
 
Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941
borkopinf
 
Wi fi
Wi fiWi fi
Wi fi
Дидка Дикова
 
86101
8610186101
86101
Александър Димитров
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
evation
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network Attacks
Svetlin Nakov
 
Nadezhda Stavreva
Nadezhda StavrevaNadezhda Stavreva
Nadezhda Stavreva
guestd2af7ff
 
nette_lijnen_algoritme_v1
nette_lijnen_algoritme_v1nette_lijnen_algoritme_v1
nette_lijnen_algoritme_v1
Patrick ten Bruggencate
 
Power point, Nuestro pan de cada dia
Power point, Nuestro pan de cada dia Power point, Nuestro pan de cada dia
Power point, Nuestro pan de cada dia
jennydaniela97
 
визитка
визиткавизитка
визитка
zheltova2016
 

Contenu connexe

Tendances

Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тях
University of Economics - Varna
 
безопасност и защита на Wi
безопасност и защита на Wiбезопасност и защита на Wi
безопасност и защита на Wi
Ines Slavova
 
Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941
borkopinf
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
evation
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network Attacks
Svetlin Nakov
 

Tendances (19)

защити на Wi
защити на Wiзащити на Wi
защити на Wi
 
Virtual Private Networks Security Presents
Virtual Private Networks Security PresentsVirtual Private Networks Security Presents
Virtual Private Networks Security Presents
 
Vpn
VpnVpn
Vpn
 
Web Security Intro
Web Security IntroWeb Security Intro
Web Security Intro
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
 
4684
46844684
4684
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
 
Milena- wifi
Milena- wifiMilena- wifi
Milena- wifi
 
Особености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тяхОсобености на sniffing атаките и как да се предпазим от тях
Особености на sniffing атаките и как да се предпазим от тях
 
Презентация - sniffing атаки
Презентация - sniffing атакиПрезентация - sniffing атаки
Презентация - sniffing атаки
 
Wi-Fi Security
Wi-Fi SecurityWi-Fi Security
Wi-Fi Security
 
Virtual Private Networks Security
Virtual Private Networks SecurityVirtual Private Networks Security
Virtual Private Networks Security
 
безопасност и защита на Wi
безопасност и защита на Wiбезопасност и защита на Wi
безопасност и защита на Wi
 
Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941
 
Wi fi
Wi fiWi fi
Wi fi
 
86101
8610186101
86101
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network Attacks
 
Nadezhda Stavreva
Nadezhda StavrevaNadezhda Stavreva
Nadezhda Stavreva
 

En vedette

Power point, Nuestro pan de cada dia
Power point, Nuestro pan de cada dia Power point, Nuestro pan de cada dia
Power point, Nuestro pan de cada dia
jennydaniela97
 
Sara Nessanbaum _resume_2016
Sara Nessanbaum _resume_2016Sara Nessanbaum _resume_2016
Sara Nessanbaum _resume_2016
Sara Nessanbaum
 
Ambientes virtuales de aprendizaje
Ambientes virtuales de aprendizajeAmbientes virtuales de aprendizaje
Ambientes virtuales de aprendizaje
LauraAlvarez2315
 

En vedette (20)

nette_lijnen_algoritme_v1
nette_lijnen_algoritme_v1nette_lijnen_algoritme_v1
nette_lijnen_algoritme_v1
 
Power point, Nuestro pan de cada dia
Power point, Nuestro pan de cada dia Power point, Nuestro pan de cada dia
Power point, Nuestro pan de cada dia
 
визитка
визиткавизитка
визитка
 
проект
проектпроект
проект
 
the qur'an from oral to physical
the qur'an from oral to physicalthe qur'an from oral to physical
the qur'an from oral to physical
 
Library Database
Library DatabaseLibrary Database
Library Database
 
Київ - місто комфортного життя
Київ - місто комфортного життяКиїв - місто комфортного життя
Київ - місто комфортного життя
 
Sara Nessanbaum _resume_2016
Sara Nessanbaum _resume_2016Sara Nessanbaum _resume_2016
Sara Nessanbaum _resume_2016
 
ΠΟΛ. 1192
ΠΟΛ. 1192ΠΟΛ. 1192
ΠΟΛ. 1192
 
2016-02-10 Agile Talks #12 - Adaptive Planning
2016-02-10 Agile Talks #12 - Adaptive Planning2016-02-10 Agile Talks #12 - Adaptive Planning
2016-02-10 Agile Talks #12 - Adaptive Planning
 
Hitesh maheshbhai patel
Hitesh maheshbhai patelHitesh maheshbhai patel
Hitesh maheshbhai patel
 
Ambientes virtuales de aprendizaje
Ambientes virtuales de aprendizajeAmbientes virtuales de aprendizaje
Ambientes virtuales de aprendizaje
 
Sysdat International | corporate presentation
Sysdat International | corporate presentationSysdat International | corporate presentation
Sysdat International | corporate presentation
 
Tugas 2
Tugas 2Tugas 2
Tugas 2
 
Open issue in oop
Open issue in oopOpen issue in oop
Open issue in oop
 
ΣΕΒ 01_26_2017
ΣΕΒ 01_26_2017ΣΕΒ 01_26_2017
ΣΕΒ 01_26_2017
 
Pharma sp report-1_2017
Pharma sp report-1_2017Pharma sp report-1_2017
Pharma sp report-1_2017
 
ΟΑΕΔ, Εγκύκλιος 16435/02.03.2017
ΟΑΕΔ, Εγκύκλιος 16435/02.03.2017ΟΑΕΔ, Εγκύκλιος 16435/02.03.2017
ΟΑΕΔ, Εγκύκλιος 16435/02.03.2017
 
amit
amitamit
amit
 
Africa_Sabe_CV_eng_june2016
Africa_Sabe_CV_eng_june2016Africa_Sabe_CV_eng_june2016
Africa_Sabe_CV_eng_june2016
 

Similaire à Vpn mreji 105227

Методи за криптиране и декриптиране
Методи за криптиране и декриптиранеМетоди за криптиране и декриптиране
Методи за криптиране и декриптиране
Angel Blagyov
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиране
Georgi Georgiev
 
Безопасност и защита на Web приложения
Безопасност и защита на Web приложенияБезопасност и защита на Web приложения
Безопасност и защита на Web приложения
DiNikolo
 
Реферат на тема безопастност и защита на Wi fi
Реферат на тема безопастност и защита на Wi fiРеферат на тема безопастност и защита на Wi fi
Реферат на тема безопастност и защита на Wi fi
Иван Иванов
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
ssalieva
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin Nakov
Svetlin Nakov
 

Similaire à Vpn mreji 105227 (19)

Virtual Private Networks Security PPTX
Virtual Private Networks Security PPTXVirtual Private Networks Security PPTX
Virtual Private Networks Security PPTX
 
Безопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud CopmputingБезопасност и защита при Cloud Copmputing
Безопасност и защита при Cloud Copmputing
 
Методи за криптиране и декриптиране
Методи за криптиране и декриптиранеМетоди за криптиране и декриптиране
Методи за криптиране и декриптиране
 
курсова 91582
курсова 91582курсова 91582
курсова 91582
 
Netsec
NetsecNetsec
Netsec
 
Симетрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информацияСиметрични и асиметрични алгоритми за криптиране на информация
Симетрични и асиметрични алгоритми за криптиране на информация
 
криптиране и декриптиране
криптиране и декриптиранекриптиране и декриптиране
криптиране и декриптиране
 
Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
 
Security in cloud computing
Security in cloud computingSecurity in cloud computing
Security in cloud computing
 
Cripting and Security on the Net
Cripting and Security on the NetCripting and Security on the Net
Cripting and Security on the Net
 
Web Services Security
Web Services SecurityWeb Services Security
Web Services Security
 
Безопасност и защита на Web приложения
Безопасност и защита на Web приложенияБезопасност и защита на Web приложения
Безопасност и защита на Web приложения
 
Реферат на тема безопастност и защита на Wi fi
Реферат на тема безопастност и защита на Wi fiРеферат на тема безопастност и защита на Wi fi
Реферат на тема безопастност и защита на Wi fi
 
Web Services Security Presentation
Web Services Security PresentationWeb Services Security Presentation
Web Services Security Presentation
 
Sdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализацияSdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализация
 
Лекция първа Security
Лекция първа SecurityЛекция първа Security
Лекция първа Security
 
Open Free Security Software
Open Free Security SoftwareOpen Free Security Software
Open Free Security Software
 
с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)с- ми_за-откриване_на_атаки(ids)
с- ми_за-откриване_на_атаки(ids)
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin Nakov
 

Vpn mreji 105227

  • 1. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 РЕФЕРАТ БЕЗОПАСНОСТ И ЗАЩИТА НА MICROSOFT МРЕЖИ И ПРИЛОЖЕНИЯ Тема: Безопасност и защита на VPN-мрежи Изготвил: Проверил: Свилена Росенова Русева Доц. д-р Стефан Дражев фак. № 105227, група 64, курс 5 Ас. Радка Начева специалност Информатика
  • 2. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 2 | С т р . Съдържание Въведение .........................................................................................................................................3 Понятието VPN.................................................................................................................................3 Сигурност на VPN............................................................................................................................5 VPN протоколи .................................................................................................................................6 Тунелни протоколи......................................................................................................................8 Протоколи за криптиране........................................................................................................ 10 Типове атаки използвани срещу VPN ..................................................................................... 12 Атаки срещу PPTP и защити, подобрения на Misrosoft ...................................................... 12 Заключение .................................................................................................................................... 16 Използвана литература .............................................................................................................. 17
  • 3. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 3 | С т р . Въведение Виртуална частна мрежа или VPN (Virtual Private Network) е компютърна мрежа, логически изградена чрез криптиране, използваща физическата и програмна инфраструктура на по-голяма обществена мрежа, най-често Интернет. Съществуват 3 основни приложения на виртуалните частни мрежи — прехвърляне на работата (аутсоурсинг) по отдалечен достъп, разширени интранет мрежи и разширени екстранет мрежи. Виртуалните частни мрежи обикновено криптират трафика между отделните хостове в Интернет и така допринасят за информационната сигурност на използващите ги организации. Понятието VPN Виртуална частна мрежа (VPN) е разширение на частна мрежа в цялата публична мрежа, като например Интернет. Тя дава възможност на един компютър или активирани мрежови устройства да изпращат и получават данни през споделени или публични мрежи все едно са пряко свързани с частната мрежа, като същевременно се възползва от политиката на функционалността, сигурността и управлението на частната мрежа. VPN се осъществява чрез създаване на виртуална връзка от-точка-до-точка, чрез използването на специализирани връзки, виртуални протоколи, тунели и криптиране на трафика. За да наподобри връзката от-точка-до- точка, данните се капсулират или увиват с хедър. Това осигурява информация на маршрутите да преминат през споделени или обществени вътрешни мрежи и да достигнат своята крайна точка. В частната връзка изпратените данни са криптирани за поверителност. Пакетите, които са заловени в споделените или обществените мрежи са неразбираеми без криптиращите ключове. Частта на връзката, в която са капсулирани личните данни се нарича тунел. Частта от връзката, в която са криптирани личните данните се нарича виртуална частна мрежа (VPN). Основни приложения на виртуални частни мрежи включват OpenVPN и IPsec. VPN връзката през Интернет логически функционира като WAN връзка през наета линия. От гледна точка на потребителя, разширените мрежови ресурси са достъпни по същия начин, както мрежовите ресурси в рамките на частните мрежи. VPN използват удостоверени връзки, за да се гарантира, че само оторизирани
  • 4. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 4 | С т р . потребители могат да се свързват с Вашата мрежа. Освен това се използва шифроване, за да се елиминира възможността други хора да прихванат и използват данните, пътуващи по Интернет. Windows XP постига това ниво на сигурност чрез използване на протокола Point-to-Point Tunneling (PPTP) или Layer Two Tunneling (L2TP). Протокол за "тунелиране" е технология, осигуряваща по-високо ниво на сигурност при прехвърляне на информация по Интернет от един компютър на друг. Основното ограничение на традиционните VPN мрежи е, че те са от-точка-до-точка и не са склонни да поддържат или да се свързват с домейни. Затова комуникацията, софтуера и мрежите, които се основават на Layer 2 и broadcast пакети като NetBIOS, използвани в Windows мрежите, може да не се поддържат изцяло или да не работят точно така, както биха изглеждали в реален LAN. Варианти на VPN, като Virtual Private LAN Service (VPLS) и Layer 2 протоколни тунели са предназначени за преодоляване на това ограничение. Виртуалните частни мрежи позволяват на служителите сигурен достъп до интранет мрежата на организацията си, когато се намират извън офиса. По същия начин, виртуални частни мрежи свързват географски отдалечени офиси на една организация, създавайки една сплотена мрежа (Фиг.1). VPN технологията се използва и от отделните потребители на Интернет, за да се осигурят техните безжични транзакции, да се заобиколят гео ограниченията и цензурата и да се свържат с прокси сървъри с цел защита на личната идентичност и местоположението.
  • 5. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 5 | С т р . Фиг. 1 – VPN мрежа Сигурност на VPN Сигурността на VPN има три компонента:  Автентикация  Авторизация  Криптиране Автентификацията /Аутентикация/ - още една стъпка, определяща за сигурността при VPN комуникацията е аутентикацията. На тази стъпка, получателят на данните определя дали изпращача наистина е този, за който се представя (User/System Authentication) и дали данните са били пренасочвани или повредени по пътя (Data Authentication). Автентикацията на VPN клиента включва проверката за истинност на самоличността на машината и на потребителя, който инициира VPN връзката. Автентикацията може да бъде осъществена на нивото на машината. Например, когато една VPN връзка, базирана на Windows, използва IPSec за L2TP VPN сертификатите на машините се обменят като част от изграждането на IPSec
  • 6. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 6 | С т р . асоциация за сигурност. Потребителят може да бъде автентициран с помощта на един от няколкото метода за автентикация, като Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (CHAP) и Shiva PAP (SPAP). Авторизацията означава зададените ограничения, на базата на които на едни от потребителите се предоставя достъп до VPN, а на други се отказва. За защита на данните във VPN мрежи могат да бъдат използвани най- различни технологии за криптиране. Много VPN реализации позволяват потребителя да избере метода за криптиране, който трябва да бъде използван. Криптирането осигурява сигурност на данни, които пътуват по VPN. Без тази сигурност данните биха могли лесно да бъдат прихванати, докато се предават по обществената мрежа. Криптирането е техника на кодиране и разкодиране на информация. На всеки край на VPN тунела има VPN gateway в софтуерна или в хардуерна форма. Gateway-a на изпращача криптира информацията преди да я изпрати по тунела през Интернет. VPN gateway-я на получателя декриптира информацията. Ключът е код, който криптиращият алгоритъм използва, за да създаде уникална кодирана информация. Нивото на сигурност зависи непосредствено от дължината на използваните ключове. VPN продуктите днес използват 168 и повече bit-ови ключове. Повечето VPN използват IPSec технологии. IPSec е съвместим с повечето различен VPN хардуер и софтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен достъп. Даден IPSec тунел основно играе ролята на мрежов слой, който предпазва всичките пакети от информация, които преминават, независимо от приложението. VPN протоколи Във виртуалните частни мрежи се използват три типа протоколи:  Тунелен протокол (VPN протокол) - използва се за изграждане на тунела (Фиг. 2).
  • 7. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 7 | С т р .  Протокол за криптиране (протокол за сигурност) - използва се за сигурност на данни.  Мрежов/транспортен протокол (LAN протокол) - използва се за комуникация по частната мрежа. Фиг. 2 – VPN връзка представена чрез тунел За криптиране могат да бъдат използвани т.нар. тунелиращи протоколи, някои от тях които са публично достъпни:  IPsec - протокол, ESP - тунелиращ мод — може да бъде използван за отдалечен достъп и в локална мрежа;  L2TP - използван само за отдалечен достъп;  L2F - тунелиращ протокол;  PPTP протокол на Microsoft, използващ Point-to-Point криптиране на Microsoft  едно от решенията е също употребата на SSL VPN, чрез което се предоставя достъп до ресурсите на информационната система на компанията чрез криптирана връзка, все пак пакети не се транспортират в мрежата на организацията.
  • 8. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 8 | С т р . Тунелни протоколи  PPTP Тунелните протоколи капсулират данните така, че хедърите на оригиналния протокол се обвиват вътре в капсулиращите хедъри. PPTP е първият VPN протокол, който се поддържа от Microsoft Dial-Up Networking. Протокол от слой 2 за изграждане на WANs, изграден е на основата на Point-to-Point Protocol (PPP) и осигурява капсулирането и маршрутизацията на мрежови трафик през несигурна обществена мрежа (например Интернет). Начин на работа: 1. PPTP капсулира PPP фрейм, който може да бъде IP, IPX или NetBEUI пакет, във вътрешността на Generic Routing Encapsulation (GRE) хедър. Добавя се IP хедър за осигуряване на IP адресите на източника и на местоназначението. Адресът на източника е този на VPN клиента, а адресът на местоназначението е този на VPN сървъра. 2. Данните в оригиналната диаграма обикновено са криптирани. VPN мрежите на Microsoft използват протокола MPPE заедно с PPTP за осигуряване на сигурни комуникации.  L2F L2F или Layer 2 Forwarding тунелиращ протокол, който е разработен от Cisco Systems и включва техния софтуер IOS. Като алтернатива на PPTP, L2F има възможност да използва ATM и Frame Relay протоколи за тунелиране. За разлика от PPTP, който изисква IP, за да работи L2F не изисква. L2F не осигурява криптиране или поверителност. Разчита на протокола за тунелиране, за да осигури неприкосновеност. L2F осигурява автентикация на крайните точки на тунела.  L2TP L2TP протокола е резултат от сътрудничеството на Microsoft и Cisco, той е комбинация от възможностите на PPTP и L2F. L2TP капсулира данните за
  • 9. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 9 | С т р . изпращане по IP (както прави PPTP), но може да ги капсулира и за изпращане по ATM, Frame Relay и X.25. Предимства на L2TP пред PPTP: - L2TP поддържа множество тунели между крайни точки. Това позволява създаване на множество тунели, които поддържат различно качество на услугата (QoS). - L2TP поддържа компресиране на хедъри, което спестява допълнително информация. - L2TP работи по не-IP интернет мрежи, използващи ATM или Frame Relay виртуални вериги.  IPSec IPSec може да бъде използван за криптиране на данни, които текат през тунел изграден от друг протокол, например L2TP. Той може да бъде използван и за изграждане на тунел, когато действа в режим на тунелиране. В режима на тунелиране IPSec може да бъде конфигуриран за защита на данните между два IP адреса или между две IP подмрежи. IPSec може да използва един или два протокола: Authentication Header (AH) и Encapsulation Security Payload (ESP). - AH тунелен режим - използван сам по себе си, не осигурява криптиране на данните, които пътуват през тунела. Той верифицира, че данните не са пипани и автентицира изпращача. При AH не може да бъде направена никаква промяна на адреса на източника или местоназначението от момента, в който пакетът напусне началната точка на тунела. - ESP тунелен режим - адресите на първоначалния източник и крайното местоназначение се съдържат в оргиналния капсулиран IP хедър. Външният хедър обикновено съдържа адресите на шлюзовете. ESP тунелът криптира данните с помощта на алгоритмите DES или 3DES.
  • 10. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 10 | С т р .  SSH/SSH2 Първоначално SSH е бил предназначен за осигуряване на сигурна алтернатива на Unix r командите, като: rsh, rlogin, rcp. SSH2 се е развил като сигурен тунелен протокол, който може да се използва за създаване на VPN мрежа, работеща под Linux или Unix. Типът на VPN мрежата изградена с SSH2, се нарича VPN на ниво верига. При този вид VPN шлюзовете работят в сесийния слой на OSI модела. SSH клиентския софтуер е достъпен и за Windows. SSH може да бъде инсталиран на защитна стена, а тунелът да бъде изграден от SSH клиент с dial-up Интернет достъп до защитната стена. Защитната стена може да бъде конфигурирана да препраща трафика до 5 сървъра по вътрешната мрежа. Това е решение на VPN връзки, но с ниска производителност. SSH изисква акаунт за логване.  CIPE CIPE представлява драйвер за ядрото на Linux, който може да бъде използван за осигуряване на сигурен тунел между две IP подмрежи. Данните се криптират в мрежовия слой на OSI модела. Това криптиране се нарича криптиране на ниско ниво. Предимството на този вид криптиране пред криптирането на високо ниво е, че при него не трябва да бъдат правени никакви промени на приложния софтуер, когато две мрежи се свързват с помощта на VPN. CIPE е по-прост и ефективен от IPSec. Протоколи за криптиране  MPPE MPPE се използва с PPTP - базирани VPN връзки (или PPP dial-up връзки) и може да използва криптиращ алгоритъм с 40, 56 или 128-битов ключ.  IPSec криптиране IPSec използва DES или 3DES за криптиране на данните в L2TP тунел. Използването на комбинация от криптографско-базирани алгоритми и ключове
  • 11. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 11 | С т р . прави информацията много сигурна. Алгоритъмът на Дифи-Хелман позволява сигурен обмен на споделен ключ без изпращане на самия ключ по мрежата.  VPNd криптиране: Blowfish VPNd за Linux използва криптиращ алгоритъм Blowfish. Това е 64-битов алгоритъм, който може да използва ключове с променлива дължина, от 32- бита до 448-бита. Той е бърз и неговия сорс код е достъпен. Съществуват няколко варианта: GOLDFISH, DOSFISH и TWOFISH.  SSH криптиране SSH (Secure SHell) е мрежов протокол, позволяващкриптирано предаване на данни. Разработен е от SSH Communications Security Ltd. Най-често се използва за изпълняване на команди на отдалечена машина, прехвърляне на файлове от една машина на друга и самото й менажиране. Предоставя високо ниво на автентификация и сигурност по време на комуникацията между машините през незащитена връзка. Проектиран е да замести подобни протоколи, като например TELNET, rsh и rexec на Бъркли, rlogin, rcp, rdist. Всеки път, когато от компютър се изпращат данни към мрежата, SSH автоматично ги криптира. След получаването им от крайния потребител, SSH отново автоматично ги декриптира. Този процес се нарича прозрачно криптиране (transparent encryption). Така потребителите могат да работят нормално, без да подозират, че техните съобщения се криптират, така че да бъдат безопасно използвани в мрежата. SSH използва клиент/сървър архитектура. На сървъра се инсталира SSH програма от системния администратор, която приема или отхвърля изпратените заявки от SSH клиент до самата нея. Всички заявки между клиента и сървъра са сигурно криптирани, за да не могат да бъдат модифицирани. SSH може да бъде използван от машини с различна операционна система, като Windows, Unix, Macintonsh и OS/2.
  • 12. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 12 | С т р .  LAN протоколи За да могат VPN клиентът и сървърът да комуникират, те трябва да имат общ стек от мрежови/транспортни протоколи. Това може да бъде TCP/IP, но не е задължително. Дори и при PPTP връзка, който изисква IP, частната мрежа може да използват IPX/SPX или NetBEUI. Типове атаки използвани срещу VPN Атаките срещу VPN основно се разделят на 4 вида:  Impersonation атаки - атаки, при които атакуващия се представя за друг човек. Методите за автентикация поддържани от PPTP могат да намалят ефективността на този тип атаки.  Integrity атаки - атаки, при които информацията изпратена от потребителя се модифицира. По принцип е невъзможно предпазването от този тип атаки, най- доброто, което може да се направи е да се разпознае модификацията. Електронните подписи са също защита срещу този тип атаки.  Disclosure атаки - атаки в резултат, на които информацията се получава от човек, за който не е предназначена. Вредата от този тип атака зависи от съдържанието на информацията. Защитата от този тип атаки е използването на силни криптографски алгоритми.  Отказ на услуга (Denial of service) - целта на тези атаки е да откажат услуга на валидни потребители. Практически невъзможно и най-трудно е предпазването от този тип атаки. Атаки срещу PPTP и защити, подобрения на Misrosoft  Dictionary Attacks Този тип атаки се състоят в това, че се използва голям списък от думи и чрез изпробване, атакуващия се опитва да открие паролата. Криптираната парола се сравнява с всяка дума от списъка (също криптирана), докато се открие съвпадение. Всички видове автентикация използващи пароли са уязвими на този тип атака. LAN
  • 13. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 13 | С т р . Manager authentication е особено уязвим. По тази причина не се поддържа в MS- CHAP v2. Използва се Windows NT метода за автентикация, който е по-устойчив на този тип атаки.  Server Spoofing Тъй като се автентицира само PPTP клиента, възможно е фалшив PPTP сървър да се представи за истинския. Фалшивият сървър може и да не успее да разкодира информацията, която изпраща клиента, но ще събере доста информация, криптирана с един и същи ключ, което може да е полезно. Освен това, сървъра може да поиска от клиента да си смени паролата използвайки старата версия на MS- CHAP (CPW1). CPW1 е така проектиран, че фалшивият сървър може да притежава хеша на паролата на клиента и може да я използва, за да се представя с нея на истинския PPTP сървър или на RAS сървър. В MS-CHAP v2 този проблем е отстранен, автентикацията се прави ръчно (manual), което прави атаката по-трудна. Ръчно (manual) автентикация означава, че не само клиента се автентицира пред сървъра, но и сървъра се автентицира пред клиента.  Слаби криптиращи ключове Криптиращите ключове използвани от MPPE се извличат от потребителската парола. Ако паролата е несигурна, то и ключа ще бъде също толкова слаб. Подобрението на Microsoft, което е включено в Windows NT 4.0 Service Pack 2, Service Pack 3, Service Pack 4 е, че системата може да провери избора на 12 потребителя, дали паролата има минималната дължина и е случайна (не е дума от речник).  Повторна употреба на същия криптиращ ключ Когато 40-битов криптиращ ключ е създаден, същият ключ за криптиране се използва във всички следващи PPTP сесии, докато потребителя не си смени паролата. Това е така, защото само паролата се използва за извличането на 40-
  • 14. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 14 | С т р . битовия ключ, без друга допълнителна уникална информация за самата сесия. 128- битовия ключ няма този проблем, защото за неговото извличане се използва уникална за сесията информация. Същият ключ се използва за изпращане и за получаване на информация, което означава, че една и съща информация е криптирана с един и същи ключ всеки път. В MS-CHAP v2 за извличането на 40- битовия и 128-битовия се използва уникална информация от сесията. В двете посоки (получаване и изпращане) се използват различни ключове.  Синхронизация на ключовете в MPPE MPPE променя ключа за криптиране на всеки 256 пакета или когато се изгуби пакет. Ако получателя забележи, че има липсващ пакет, казва на изпращащия да промени ключа и да започне синхронизацията от начало. Това позволява на евентуален атакуващ да направи атака с отказ на услугата и да модифицира (брояча) времето на пакета или да предизвика ресинхронизация. За да се избегне тази атака в PPTP МPPE сменя ключа на всеки пакет.  PPP измами при уговарянето (Negotiation Spoofing) PPP уговорките между PPTP клиента и сървъра са некриптирани и без автентикация. По тази причина е възможно атакуващ да измами с PPP пакет, такъв който съдържа адреса на DNS сървъра или IP адрес, който да бъде използван от клиента. Може също така да бъде модифицирана информация в пакета.  Пасивно Наблюдение Наблюдавайки PPTP контрола и каналите за информация по време на тунелирането може да се получи различна информация за PPTP сървъра и клиента. Тази информация включва: IP адресите на клиента и на сървъра, вътрешния IP адрес на клиента на PPTP - тунела, адресите на външните DNS сървъри, дадени на клиента и потребителското име на клиента. В MS-CHAP v2 са направени промени, които подобряват сигурността на PPTP протокола. Основният проблем с
  • 15. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 15 | С т р . автентикацията и криптирането е, че те са толкова сигурни, колкото сигурна парола е избрал потребителя. Колкото по-бързи стават компютрите и атаките срещу паролите стават по-осъществими и се достига до разбиването им. Списъка с лоши пароли включва думи като: думи от речник, думи със случайно разместени букви, думи допълнени с числа, думи, в които букви са заместени с числа, обърнати думи, думи образувани от началните букви на други думи. Могат да се използват протоколи за автентикация и размяна на ключове, които не позволяват да се прави dictionary-атаки върху паролите на потребителите.  Сигурност на VPN създаден с IPSec IPSec използва стандартния начин за защита на данните с криптиращи алгоритми, както и използването на ключове за автентикация. IP Security Protocol, определя информацията, която трябва да се добави към IP пакета, за да се осигури поверителността, достоверността на информацията, определя как да бъде криптиран пакета. IKE (Internet Key Exchange) е протокол, управляващ размяната на ключове и се използва заедно с IPSec. Той осигурява на IPSec допълнителни предимства, гъвкавост и лесно конфигуриране. Осигурява сигурна комуникация на IPSec без да изисква допълнително преконфигуриране и осигурява сигурна размяна на криптиращите ключове. Проблемите, които може да се появят при използването на IPSec VPN зависят от имплементацията. Сигурността при използването на публични ключове е толкова добра, колкото добър е механизмът за защита на частния ключ. Повечето IPSec имплементации поддържат сертифициране. Те генерират по-силни ключове от механизмите основани на генериране на ключ, използвайки паролите. Проблема е, че някои имплементации на IPSec използват сертификати базирани на машината без едновременно с това да използват автентициране на потребителя. Ако клиентската машина се използва от повече от един човек, упълномощения достъп до мрежата, основан на машинен сертификат, създава дупка в сигурността. Предимствата на IPSec пред PPTP са, че не поддържа автентикация на ниво потребител (както паролите при PPTP) и използва автентикация с размяна на ключове.
  • 16. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 16 | С т р .  Сигурност на L2TP Сигурността на L2TP зависи от имплементацията. Стандартно VPN изградена с L2TP използва IPSec, за да осигури защита на информацията. При такива имплементации PPP-автентикация обикновено се използва заедно с IPSec. Заключение Частните виртуални мрежи (VPN - Virtual Private Networks) са много повече от „тунел” за отдалечен достъп на служителите до централния работен сървър. VPN може да бъде и полезен инструмент за защита на он-лайн неприкосновеността. VPN е една виртуална версия на сигурна физическа мрежа от компютри, свързани помежду си за споделяне на файлове и други ресурси. VPN мрежите се свързват с външния свят посредством Интернет, като генерират допълнителен трафик на корпоративната връзка. Модерните VPN връзки са криптирани, така че компютрите, устройствата и другите мрежи се свързват посредством криптирани тунели. Вие имате най-малко четири причини, за да започнете да използвате VPN. Първо, може да се използва, за да се свържите сигурно към отдалечена мрежа чрез Интернет. Повечето компании така са конфигурирали VPN, че служителите да имат достъп до файлове, приложения, принтери и други ресурси в офисната мрежа без компромиси в сигурността, но вие също така може да си направите и свой, собствен VPN за сигурен достъп до Вашата домашна мрежа. Второ, VPN е много полезен за сигурно свързване на няколко мрежи. Именно поради тази причина повечето фирми (малки и големи) разчитат на VPN за споделяне на сървъри и други мрежови ресурси между множество офиси по целия свят. На трето място, ако сте загрижени за вашата он-лайн неприкосновеност, докато сте с криптирана VPN връзка, даже и когато сте свързани с Интернет посредством ненадеждна обществена мрежа (като Wi-Fi точка за достъп в хотел, магазин или Интернет кафе), това Ви осигурява проста и интелигентна защита. Тъй като VPN криптира Вашия Интернет трафик, това помага да се попречат опити за улавяне на Вашите пароли. На четвърто място, най-добрата причина за използване на VPN е заобикаляне на регионалните ограничения на някои сайтове, известни като „геоблокинг”.
  • 17. ИКОНОМИЧЕСКИУНИВЕРСИТЕТ- ВАРНА 2015 17 | С т р . Използвана литература 1. Дж. Скамбрей, Ст. МакКлър, Дж.Къртс, „Защита от хакерски атаки”, СофтПрес, 2001 2. http://bg.wikipedia.org/wiki/%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B 0%D0%BB%D0%BD%D0%B0_%D1%87%D0%B0%D1%81%D1%82%D0%BD%D 0%B0_%D0%BC%D1%80%D0%B5%D0%B6%D0%B0 3. https://technet.microsoft.com/en-us/library/bb742566.aspx 4. http://www.softether.org/1- features/1._Ultimate_Powerful_VPN_Connectivity#SoftEther_VPN's_Solution:_Usin g_HTTPS_Protocol_to_Establish_VPN_Tunnels 5. www.cisco.com 6. http://pcworld.bg/12368_shto_e_to_vpn 7. http://techs-mobile.blogspot.com/2010/03/vpn.html 8. http://support2.microsoft.com/kb/314076/bg 9. http://pcworld.bg/21795_kak_i_zashto_dnes_se_instalira_vpn