KOMMUNIKÁCIÓS SZOLGÁLTATÁSOK BIZTONSÁGA IT hálózat biztonság Összeállította: Huszár István

Kommunikációs szolgáltatások biztonsága Milyen konkrét megoldások vannak (protokollok, szolgáltatások), amelyek biztosítják a felhasználók számára a biztonságos kommunikációt a nyílt hálózatokon is. Vannak régi, megszokott megoldások, amelyek már elavulttá váltak. Célszerű figyelemmel kísérni a legújabb megoldásokat (annak ellenére, hogy még nem elterjedtek, és esetleg költségesek is).

Internetbiztonság Azért fontos terület, mert jelenleg ez a legelterjedtebb. Vitaalap: vagy teljesen új rendszert kell létrehozni, vagy a már meglévőre illeszkedő továbbfejlesztést kell folytatni. Megoldási javaslatok: A végpontokon kell erős titkosítást sértetlenség-ellenőrzést biztosítani. Hátrány: az összes hálózati alkalmazást újra kell írni, hogy kezelni tudják a biztonsági funkciókat. A felhasználóktól függetlenítve kell megoldani a (hálózati rétegben) a titkosítási és hitelesítési folyamatokat.

Az IPsec IP security – IP biztonság : az internetes kommunikáció biztonságáért felelős keretrendszer, amely többféle szolgáltatásból és algoritmusból áll. (Pl. titkosítás, sértetlenség biztosítás, visszajátszásos támadás elleni védelem). A gyors működés érdekében szimmetrikus kulcsú algoritmust használ. Az algoritmusok változtathatók, így könnyebben együttműködhetnek a fejlettebb titkosítási módszerekkel. SA – Security Association – biztonsági kapcsolat: így nevezi az összeköttetéseket az IPsec. (Egyirányú kapcsolat.) Kétirányú kapcsolat esetén két SA-ra van szükség.

IPsec részei Új fejrészek: leírják a biztonsági azonosítót, a sértetlenségért felelős adatokat, egyéb technikai információkat. ISAKMP (Intenet Security Association and Key Management Protocol): Internetes Biztonsági Kapcsolat- és Kulcskezelő Protokoll. – A kulcsok kezelésével foglalkozik. Pl.: IKE (Internet Key Exchange) – Internetes Kulcscsere.

IPsec használati módjai Szállítási mód (transport mode): IPsec fejrész az IP fejrész mögött van, tartalma biztonsági információk, SA azonosító, csomag sorszáma (SA-n belüli), a sértetlenséget biztosító ellenőrzőösszeg. Alagútmód (tunnel mode): A teljes IP csomag bekerül egy új IP csomagba, amely egy új IP fejrészt tartalmaz. Ez lehetővé teszi, hogy a tűzfal ki- és be tudja csomagolni az áthaladó csomagokat, valamint több TCP összeköttetést lehet egy folyamatként kezelni.

IPsec használata Microsoft környezetben

Virtuális magánhálózat (VPN) Virtual Private Network: a rajta keresztül haladó adatokat titkosítjuk, ezeket a kódolt adatokat csomagoljuk be, így azok nem láthatóak, olvashatóak az eredeti hálózaton. Virtuális, mert a már meglévő nyilvános hálót használjuk úgy, mintha magán lenne. A titkosítás alapszolgáltatása a VPN-nek, de egyes esetekben titkosítás nélkül is használható. Felhasználás: pl. vállalati erőforrásokhoz való biztonságos távoli hozzáférés. Beépíthető hálózati eszközbe (router, tűzfal), de szoftveresen is megvalósítható.

Virtuális magánhálózat a gyakorlatban MS Server képes kezelni a VPN kapcsolatokat. A szolgáltatás kihasználásához az Active Directory használata szükséges a kiszolgálón. Először telepíteni kell a Hálózati házirend és szolgáltatások szerepkört a kiszolgálón. + Útválasztás és távelérés szerepkör engedélyeztetése, beállítások elvégzése. Varázsló segít, Egyéni konfiguráció választása után el kell indítani a szolgáltatást. Beállítani, mely felhasználók férhetnek hozzá VPN-hez. (VPN felhasználó tulajdonság Behívás fülön NPS- Network Policy Server.)

Hálózatvédelem Microsoft környezetben NAP – Network Access Protection – Hálózatvédelem Olyan technológia, amely ügyfél-állapotházirendek létrehozására, kényszerítésére és javítására szolgál. Automatikusan kényszeríthetünk az ügyfelekre állapotházirendeket. A NAP karantént vagy korlátozott hozzáférést képes kényszeríteni: - Ipsec kapcsolatok Veztetékes kapcsolatok Vezeték nélküli (IEEE 802.11) kapcsolatok DHCP kapcsolatok Virtuális magánhálózatok HTTP-n alapuló kapcsolatok

NAP működése Health status – az ügyfelek egészségi állapota: Health Validation Server – jóváhagyó kiszolgálóra támaszkodik a Hálózatbiztonság (NAP) Minden hálózati kapcsolat létrejötte előtt szükséges egy kérés az ügyféltől, amely az NPS-en (Network Policy Server – Hálózati házirend-kiszolgáló) keresztül történik. Kérés ellenőrzése után az NPS megadja a szükséges és helyes házirendet. Az egészségi állapot validáló meghatározza az ügyfél egészségi állapotát, és ezt visszaküldi a fogadó félnek. Eredmény: 1) Korlátozott hozzáférést kap (frissítésig) 2) Teljes hozzáférés a hálózathoz.

DirectAccess szolgáltatás Windows Server 2008 R2-ben vezette be a Microsoft VPN nélkül is bárhol, bármikor kapcsolódhat a hálózatra egy Windows 7 operációs rendszert futtató kliens. Úgy fér hozzá a helyi hálózati erőforrásokhoz, mintha a helyi hálózat tagja lenne. A tartományhoz tartozó számítógép internetre csatlakozásakor a DirectAccess szolgáltatás létrehoz egy kétirányú kapcsolatot, amely lehetővé teszi az ügyfél eszköz számára, hogy friss legyen a hálózati házirendet illetően. Szolgáltatásai: hitelesítés, titkosítás (IPsec), hozzáférés-szabályozás.

Biztonságos csatlakozóréteg SSL csomag használata – minden platformon használható. TLS (Transport Layer Security – szállítási rétegbeli biztonság) protokoll már fejlettebb, mint az SSL. TLS szintén ügyfél-kiszolgáló alapú alkalmazás, lehetővé teszi a biztonságos kommunikációt, a lehallgatás és a hamisítás elleni védelmet. Az ügyfél jelzi a kiszolgálónak, hogy TLS-t szeretne használni, így a kapcsolódás során különböző paraméterek összehangolásával jön létre a kapcsolat. Session key – munkafolyamat azonosító: véletlenszám+kiszolgáló nyilvános kulcsa.

Összefoglalás Miért fontos terület a kommunikációs szolgáltatások biztonsága? Mi az IPsec lényege? Mi a VPN lényege? Mia NAP lényege? Mi a DirectAccess szolgáltatás lényege? Mi az SSL és TLS lényeg?