Transmisja danych. Jak ją zabezpieczyć?

Postępująca cyfryzacja sprawiła, że firmy, instytucje i organizacje przeniosły się – w większym lub mniejszym stopniu – do wirtualnego świata. Serwery i bazy danych stały się ich integralną częścią. Z tego względu tak ważne jest stosowanie odpowiednich zabezpieczeń, aby zminimalizować ryzyko np. wycieków czy kradzieży informacji. 

Mariusz Piwowarski, ekspert Eksperckiego Centrum Szkolenia Cyberbezpieczeństwa (ECSC), zwraca uwagę, że obecnie w większości przypadków aplikacje pisane są w architekturze klient-serwer, a to sprawia, że użytkownicy z różnych lokalizacji mają łatwy dostęp do zasobów. 

„Budowa protokołu IP sprawia, że serwer w sieci wewnętrznej może w łatwy sposób stać się osiągalny z innej sieci lub z Internetu” – wskazuje specjalista. 

Kluczowe bezpieczeństwo

Wspomniana wcześniej cyfryzacja i rozwój sieci (coraz więcej użytkowników posiada dostęp do szybkich łączy) sprawiają, że we współczesnym świecie miejsce, z którego pracujemy przestaje odgrywać istotną rolę. Swoje obowiązki możemy wykonywać z domu czy będąc w górach lub nad morzem. 

Kluczowe staje się natomiast posiadanie dostępu do zasobów naszej firmy, instytucji lub organizacji – bez tego niemożliwa jest efektywna praca zdalna. Przy czym podstawą musi być w tym kontekście bezpieczeństwo, zarówno danych jak i procesu ich przetwarzania. 

„Należy bardzo starannie podejść do zagadnienia wyboru najbardziej optymalnego rozwiązania zapewniającego bezpieczeństwo zdalnego dostępu do zasobów systemów informatycznych w instytucji” – podkreśla Mariusz Piwowarski. 

IP security i VPN

Jednym z nich jest IP security (IPsec), czyli zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy szyfrowania pomiędzy komputerami. Tego typu protokoły mogą służyć do budowy VPN (Wirtualnej Sieci Prywatnej). 

Ekspert ECSC wyjaśnia, że transmisja VPN bazująca na IPsec posiada 2 kanały komunikacyjne między połączonymi urządzeniami. Mowa o kanale wymiany kluczy (za jego pomocą przekazywane są dane dotyczące uwierzytelniania i szyfrowania) oraz kanału odpowiedzialnego za pakiety transmitowane poprzez sieć prywatną. 

Powyższa grafika prezentuje schemat sieci teleinformatycznej, która składa się z 2 routerów (Router 1 i 3) do obłsugi sieci VPN PIsec typu site-to-site dla ruchu płynącego z ich odpowiednich sieci LAN za pośrednictwem Routera 2. 

„Ruch IPsec VPN przechodzi przez Router2, który nie ma wiedzy na temat sieci VPN. Protokół IPsec zapewnia bezpieczne przesyłanie poufnych informacji za pośrednictwem sieci niezabezpieczonych, takich jak Internet. Protokół IPsec działa na poziomie sieci chroniąc i uwierzytelniając pakiety IP między uczestniczącymi urządzeniami IPsec peers, takimi jak routery Cisco. Analiza konfiguracji będzie prowadzona na Routerze1 co stanowi analogię dla konfiguracji Routera 3” – tłumaczy Mariusz Piwowarski.

Krok po kroku

Aby poprawnie skonfigurować IPsec VPN, konieczne jest posiadanie aktywnej licencji Security Technology Package security K9 na routerze Cisco. 

Specjalista wskazuje, że „aktywacja modułu security K9 odbywa się poprzez wykonanie poniższej konfiguracji na poszczególnych routerach:

• Router1(config)#license boot module c2900 technology-package security K9
• Router1(config)#end                                                                
• Router1#write memory
• Router1#reload"

Następnie należy opracować konfigurację parametrów IPsec w routerach. Pierwszym krokiem powinno być zdefiniowanie przepływ ruchu w relacji Router1-Router3 oraz Router3-Router1. 

„Kontrolna lista dostępu ACL 100 zapewnia filtrowanie ruchu kierowanego z sieci LAN Routera1 do sieci LAN Routera3. Właściwy ruch sieciowy będzie przesyłany za pomocą IPsec VPN wtedy, gdy dotyczy on komunikacji pomiędzy Router1 i Router3: Router1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255” – zaznacza ekspert ECSC.

Dalej należy zdefiniować zasady zabezpieczeń ISAKMP(Internet Security Association and Key Management Protocol) Phase 1 na routerach. Według Mariusza Piwowarskiego konfiguracja zasady zabezpieczeń dotyczy polisy szyfrowania 10 na Routerze1 za pomocą klucza publicznego P@$w0rd:

• Router1(config)#crypto isakmp policy 10
• Router1(config-isakmp)#encryption aes
• Router1(config-isakmp)#authentication pre-share
• Router1(config-isakmp)#group 5
• Router1(config)#exit
• Router1(config)#crypto isakmp key P@$w0rd address 11.11.11.2

W trzecim kroku trzeba określić parametry ISAKMP Phase 2 na routerach:

• Router1(config)#crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac
• Router1(config)#crypto map VPN-MAP 10 ipsec-isakmp
• Router1(config-crypto-map)#descryption VPN polaczenie do Router3
• Router1(config-crypto-map)#set peer 11.11.11.2
• Router1(config-crypto-map)#set transform-set VPN-SET
• Router1(config-crypto-map)#match address 100
• Router1(config-crypto-map)#exit

Ostatnim krokiem jest implementacja mapy kryptograficznej na interfejsie wyjściowym routerów:

• Router1(config)#interface G0/0
• Router1(config-if)#crypto map VPN-MAP

Specjalista wyjaśnia, że powstanie tunelu IPsec VPN nastąpi po wygenerowaniu ruchu sieciowego za pomocą polecenia ping z hosta PC1 do hosta PC2 poprzez sieć teleinformatyczną (przedstawia to poniższa grafika).

Po przesłaniu ruchu sieciowego z hosta PC1 do Hosta PC2 następuje aktywacja tunelu IPsec VPN. Jak sprawidć, że tunel IPsec VPN działa poprawnie? Gdy liczba pakietów encapsulowanych, szyfrowanych, dekapsulowanych i deszyfrowanych jest większa od zera (poniższa grafika).

„Podstawowym założeniem przy projektowaniu IPsec było zapewnienie integralności i poufności przesyłanych przez IP danych niezależnie od używanych protokołów i usług w eksploatowanych sieciach teleinformatycznych. Zapewnienie integralności przesyłanych danych, czyli możliwości wykrycia tego czy pakiet nie został zmodyfikowany, osiągnięto poprzez stosowanie skrótów kryptograficznych zamiast zwykłych sum kontrolnych używanych w protokole IP (które można przeliczyć po modyfikacji pakietu). Poufność z kolei, czyli pewność, że osoba trzecia nie odczyta transmisji, zapewnia szyfrowanie danych kluczem symetrycznym (np. DES, 3DES, AES). Protokół IPsec nie narzuca wyboru algorytmu szyfrowania, dzięki czemu protokół jest bardzo uniwersalny” – tłumaczy Mariusz Piwowarski, ekspert ECSC.

Jak dodaje, „w razie złamania w przyszłości któregoś z używanych obecnie algorytmów możliwa jest jego zmiana na inny bez przebudowy całego protokołu”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].