Dziura w tunelu

Fakt wykorzystania silnej kryptografii nie czyni rozwiązań VPN automatycznie odpornymi na wszystko, jak chcieliby sądzić ich użytkownicy. Zaufanie, jakim cieszą się sieci VPN, jest im nazbyt często udzielane na wyrost.

Fakt wykorzystania silnej kryptografii nie czyni rozwiązań VPN automatycznie odpornymi na wszystko, jak chcieliby sądzić ich użytkownicy. Zaufanie, jakim cieszą się sieci VPN, jest im nazbyt często udzielane na wyrost.

Zaprojektowany w 1992 r. standard IPsec był początkowo spójną, logiczną, konsekwentną, a przez to bezpieczną całością. Niefortunne rozszerzenia wprowadzone na przestrzeni lat przez producentów urządzeń sieciowych oraz beztroska administratorów wdrażających rozwiązania VPN powoduje w wielu przypadkach, że faktyczny poziom bezpieczeństwa oferowany przez rozwiązania mieniące się dziś mianem "zgodnych z IPsec" jest niejednokrotnie iluzoryczne.

Jak na Zawiszy

Zmiany, które zaszły w technikach obliczeniowych i prawodawstwie od początku lat 90., powinny skłonić administratorów sieci przynajmniej do przejrzenia konfiguracji wdrożonych szyfratorów VPN. Potwierdzeniem tej tezy jest ostatni raport firmy NTA Monitor. Na podstawie trzyletnich testów różnych sieci VPN firma ta w opublikowanym niedawno raporcie postawiła dość radykalną tezę - ponad 90% działających sieci VPN jest w praktyce dziurawych. W wielu przypadkach sieć VPN postrzegana jako całkowicie odporna na ataki okazywała się... najsłabszym ogniwem w zabezpieczeniach sieci.

Nawet jeśli jest to tylko część prawdy, problem jest poważny. Winę ponoszą tutaj zarówno wszyscy: producenci, tworzący dziurawe produkty, integratorzy, wdrażający je niezgodnie z regułami sztuki, i wreszcie użytkownicy, dla własnej wygody lub z niewiedzy obchodzący wymagania stawiane przez zabezpieczenia. Niezależnie od tego, kto zawinił, szkodę ponosi klient - użytkownik sieci VPN.

Aby zrozumieć powagę problemu, trzeba chcieć zauważyć, że sieci VPN są traktowane przez wiele organizacji jak zabezpieczenie totalne. Faktycznie, są ku temu teoretyczne podstawy - szyfrowana sieć VPN z założenia stanowi całkowicie nieprzezroczysty i odporny na ataki korytarz w sieci publicznej. W rozwiązaniu z dostępem z zewnątrz (w odróżnieniu od wewnętrznych tuneli VPN) bramka VPN ma umożliwiać pracę zdalną użytkownikowi, który uzyskuje za pośrednictwem szyfrowanego tunelu dostęp do całej sieci lokalnej firmy. Czyż nie jest to łakomy kąsek dla włamywacza?

Dodatkowe zagrożenie stwarza fakt, że dane przesyłane wewnątrz sieci prywatnej rzadziej są monitorowane przez systemy wykrywania włamań (IDS), a systemy w niej działające są postrzegane jako niedostępne z Internetu i przez to podlegają "taryfie ulgowej", jeśli chodzi np. o regularne łatanie i nadzór administracyjny.

Uwierzytelnienie w VPN

Szyfrowanie to tylko jedno małe kółko zębate w skomplikowanym mechanizmie, dzięki któremu informacja w sieci VPN dociera z punktu A do punktu B. Dlatego informacje o stosowaniu silnych szyfrów (3DES, AES) z długimi kluczami (128 bitów) podkreślane w materiałach marketingowych producentów, choć są ważne, to nie decydują o bezpieczeństwie finalnej instalacji.

Stosowany do budowy sieci VPN protokół IPsec składa się tak naprawdę z dwóch protokołów. Pierwszy z nich to ESP (Encapsulating Security Payload), roboczy protokół szyfrujący dane szybkim szyfrem blokowym przy wykorzystaniu symetrycznego klucza sesyjnego 128-256 bitów. Symetrycznego - to znaczy, że ten sam klucz służy do szyfrowania i deszyfrowania danych, a co za tym idzie, obie strony połączenia muszą mieć ten sam klucz.

Jak dochodzi do uzgodnienia wspólnego klucza? Tym zajmuje się pomocniczy protokół IKE (Internet Key Exchange, zwany też gdzieniegdzie ISAKMP). Za jego pomocą strony bezpiecznie wymieniają losowy klucz sesyjny, korzystając z algorytmu generowania kluczy Diffie'ego-Hellmana. Drugim, niemniej ważnym niż wymiana kluczy, zadaniem IKE jest uwierzytelnienie stron połączenia. Jakiż bowiem pożytek z szyfrowania, jeśli nawet najlepiej zaszyfrowane dane będą wysyłane do przestępcy, udającego oddział banku czy firmy?

Protokół IKE oferuje dwa podstawowe mechanizmy potwierdzenia tożsamości stron - za pomocą hasła (PSK - Pre-Shared Key) lub klucza publicznego. Ten drugi mechanizm jest bezpieczniejszy, ale wymaga wdrożenia skomplikowanej infrastruktury klucza publicznego (PKI) do zarządzania i dystrybucji dużych kluczy RSA i certyfikatów X.509. Ze względu na wygodę użytkownika w większości sieci wykorzystywana jest metoda PSK, czyli użytkownik przedstawia się routerowi dostępowemu swoim identyfikatorem, a następnie potwierdza swoją tożsamość za pomocą hasła.

Strategie ataków

Najprostszy atak na szyfrowanie sieci VPN to atak na jej użytkownika. Wyłudzenie lub kradzież danych dostępowych do VPN oznacza dla włamywacza możliwość podszycia się pod legalnego użytkownika sieci i nieograniczone buszowanie po zasobach firmy, np. po godzinach pracy.

W znanym mi przypadku włamania do firmy zajmującej się... testami bezpieczeństwa włamywacz wysłał pracownikom firmy listy z koniem trojańskim udającym wygaszasz ekranu. Zgodnie z jego oczekiwaniami jeden z pracowników uruchomił program, który niepostrzeżenie wysłał na zewnątrz login i hasło dostępu do VPN z jego laptopa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200