VPN Bezpečnostní souvislosti



Podobné dokumenty
Úvod - Podniková informační bezpečnost PS1-2

Bezpečnostní aspekty informačních a komunikačních systémů KS2

12. Bezpečnost počítačových sítí

Informatika / bezpečnost

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Kryptografie - Síla šifer

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Bezpečnost intranetových aplikací

BEZPEČNOST INFORMACÍ

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Směry rozvoje v oblasti ochrany informací PS 7

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Bezepečnost IS v organizaci

Budoucnost dispečerských řídicích systémů.

Technické aspekty zákona o kybernetické bezpečnosti

Autentizace uživatelů

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

Komerční výrobky pro kvantovou kryptografii

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Kvantové algoritmy a bezpečnost. Václav Potoček

Kvantová informatika pro komunikace v budoucnosti

ZÁKLADNÍ FUNKCE ÚZEMÍ

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Bezpečnostní mechanismy

Nástroje IT manažera

Jen správně nasazené HTTPS je bezpečné

Složitost a moderní kryptografie

SSL Secure Sockets Layer

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ElGamal, Diffie-Hellman

J.Breier, M.Vančo, J.Ďaďo, M.Klement, J.Michelfeit, Masarykova univerzita Fakulta informatiky

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Tel.: (+420)

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Bezpečnost na internetu. přednáška

PA159 - Bezpečnostní aspekty

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

základní informace o kurzu základní pojmy literatura ukončení, požadavky, podmiňující předměty,

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Jak být online a ušetřit? Ing. Ondřej Helar

PSK2-16. Šifrování a elektronický podpis I

Návrh internetových služeb

Směry rozvoje v oblasti ochrany informací KS - 7

Optimalizaci aplikací. Ing. Martin Pavlica

Základy šifrování a kódování

Nástroje IT manažera

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Problematika Internetového bankovnictví v ČR a jeho bezpečnosti. Problems of Internet banking at Czech republic and its security

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

Bezpečnost internetového bankovnictví, bankomaty

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Registr živnostenského podnikání předchůdce cloudových řešení

1. DEFINICE KRITÉRIÍ PRO SROVNÁNÍ HODNOCENÝCH TRAS ROZVOJ ÚZEMÍ VLIV NA ŽIVOTNÍ PROSTŘEDÍ EKONOMICKÁ NÁROČNOST

MFF UK Praha, 22. duben 2008

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Virtualizace síťových prvků

PB169 Operační systémy a sítě

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Bezpečnost webových stránek

Zkušenosti s budováním základního registru obyvatel

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Asymetrická kryptografie

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

ENGEL e-connect.24. rychle a bezpečně opět připraveno k provozu. be the first.

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

NAKUPOVÁNÍ

Desktop systémy Microsoft Windows

Signpads GE Money Bank Hana Čuboková. 17.Března 2014

Základy počítačových sítí Model počítačové sítě, protokoly

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Infrastruktura jako služba

Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů

Komunikační řešení Avaya IP Office

Cryptelo je systém kompletně navržený a vyvinutý přímo naší společností. Aplikace šifrování do běžné praxe. Cryptelo chrání přímo vaše data

Nejbezpečnější prostředí pro vaše data

Koncept centrálního monitoringu a IP správy sítě

Napadnutelná místa v komunikaci

asymetrická kryptografie

Úvod do kvantového počítání

Transkript:

VPN Bezpečnostní souvislosti Karel Miko, CISA (miko@dcit.cz) DCIT, s.r.o (www.dcit.cz)

Bezpečnost VPN šifrování Základní bezpečnost VPN nejčastější technologie pro VPN IPSec (příp. jeho proprietární variace) základem kvalitní šifra obvykle 3DES / AES (DES v současnosti již není považován za dostatečný) význam autentizace doporučujeme RSA x.509 certifikáty tzv. pre-shared passwords nejsou obecně považovány za zcela vhodné existující standardy nabízí možnost velmi vysoké úrovně zajištění integrity a důvěrnosti přenášených dat (praxe může být různá)

Bezpečnostní úskalí obecně Obecně platí při korektním nastavení je VPN z hlediska použitých kryptografických prostředků prakticky neprůstřelná pokud někdo na VPN za útočí, zcela jistě se nebude pokoušet prolomit použitou šifru podstatně zranitelnější než samotná VPN jsou její koncové uzly VPN je od toho, aby zajistila bezpečný, spolehlivý komunikační kanál nezkoumá, co je přenášeno

VPN AES vs. 3DES vs. DES Síla použité šifry AES (128/192/256 bit) v současnosti doporučeno 3DES (112 bit) v současnosti akceptovatelná šifra DES (56-bit) není považován za dostatečnou šifru Není to pouze o délce klíče způsob/náročnost výpočtu (3/DES náročnější) rychlost šifrování vs. dešifrování (a/symetričnost) odolnost vůči útokům hrubou silou (AES náročnější inicializace komplikovanější brute-force) přesto je délka klíče významný faktor

Šifry přehled Velikost prostoru klíčů AES 256-bit 1,1 * 10 77 AES 192-bit 6,2 * 10 57 AES 128-bit 3,4 * 10 38 3DES 112-bit 5,2 * 10 33 RC5 72-bit 4,7 * 10 21 2 roky - nerozluštěno DES 56-bit 7,2 * 10 16 rozluštěno za 22h

Rozluštění šifry reálné? 1999 DES challenge velikost prostoru klíčů: 7,2 * 10 16 56-bit DES rozluštěn za 22h skupinou http://distributed.net 100 tis. počítačů + Deepcrack - DES cracking machine špičkový výkon 250 miliard klíčů/s 2002-? RC5-72 challenge RC5 72-bitů (symetrická bloková šifra) velikost prostoru klíčů: 4,7 * 10 21 distributed.net: po 550 dnech 5,2 * 10 18 tj. 0,11 % prostoru klíčů aktuální průměr 160 miliard klíčů/s současnou rychlostí - celý prostor za 980 let při 40% ročním nárůstu (Moore) - celý prostor za 20 let

Rozluštění AES - hypoteticky AES prostor klíčů 3,4 * 10 38 (128bit), 1,1 * 10 77 (256bit) počet částic ve viditelné části vesmíru řádově 10 80 RC5 vs. AES řádově stejná výpočetní náročnost nechť máme výpočetní sílu 160 miliard klíčů/s (DNet) konstantní rychlostí 100 trilionů = 10 20 let (128 bit!!) stáří vesmíru je 15 miliard = 1,5 * 10 10 let stáří Země je 4,5 miliardy = 4,5 * 10 9 let očekávaný nárůst výpočetní síly: Mooreův zákon roční nárůst 40% Phil Zimmerman odhaduje roční nárůst 60% při nárůstu 60% 98 let (128bit), 286 let (256bit)

Fyzikální limity počítání Problematické oblasti spotřeba energie existuje jisté termodynamické minimum energie na jednu operaci problém komunikační cesty (v distribuovaném prostředí) za čas T oslovím max. konst.*(c*t) 3 uzlů pokud by se výpočty účastnila hypoteticky veškerá energie hmoty existuje limit (2*mc 2 )/(π*ħ) = 5,4*10 50 elementárních operací za vteřinu na 1 kilogram hmoty počítač o teplotě T může na každém svém bitu provést za sekundu max. řádově (k*t*ln 2)/ħ operací (při teplotě 5,9*10 8 K je to cca 10 19 operací/s/bit). problém vyzařování energie na každý zahozený bit Seth Lloyd: Ultimate physical limits to computation

Kvantové počítače ohrožení? vysoce experimentální oblast 7-qbit počítač (IBM) C 11 H 5 F 5 O 2 Fe pentafluorobutadienyl cyclopentadienyldicarbonyliron complex momentálně ohrožuje především asymetrické šifry faktorizace v polynomiálním čase (Shorův algoritmus) IBM (7-qbit kvantový počítač) faktorizace čísla 15 jistý dopad i na symetrické šifry - Groverův algoritmus vyhledávání v nesetříděné databázi O(sqrt N)

Bezpečnostní úskalí koncová zařízení Zakončení VPN obvykle router (příp. firewall) Obvyklé problémy aktualizace/patche použité SW vybavení je poměrně komplikované (kryptografie), nelze vyloučit výskyt chyb praxe: neaktualizovaný SW riziko DoS útoků, znepřístupnění či jiné negativní ovlivnění funkčnosti neodborným zásahem do nastavení lze jednoduše degradovat veškeré bezpečnostní vlastnosti VPN vysoké nároky na údržbu zařízení kvalifikované lidské zdroje znalosti (sledování aktuálního vývoje)

Připojení VPN do vnitřní infrastruktury Základní otázka: jak připojit VPN do vnitřní infrastruktury? vzdálený konec/konce VPN je vhodné vnímat do jisté míry jako vnější prostředí zakončení VPN přímo ve vnitřní LAN ne zcela dobrá praxe (byť častá) praxe: šíření problémů mezi lokalitami skrze VPN ideální je připojení VPN do vnitřního prostředí přes prvek schopný řídit komunikaci probíhající přes VPN firewall příp. router se základními funkcemi firewallu opět zvýšené nároky na správu

Bezpečnostní úskalí VPN shrnutí VPN Vás neochrání před vnitřním nepřítelem ve Vaší LAN (naopak spíše umožní šíření problému) vyústění VPN - pozor na syndrom "pancéřových vrat" na "roubené chaloupce" propojení VPN tunelem šifrovaný kanál zkrze "cizí", v krajním případě až nedůvěryhodnou infrastrukturu Naše firma, a.s. LOKALITA B v bodě propojení s LAN nutno filtrovat provoz Naše firma, a.s. LOKALITA A na šifrovaný VPN kanál hacker útočit nebude (riziko zanedbatelné) zabezpečení koncového uzlu VPN je kruciální (riziko v případě úspěšného útoku vysoké) VPN nekontroluje obsah komunikace

Bezpečný provoz VPN Zabezpečení VPN v běžném provozu všechna zmíněná úskalí bezpečnosti VPN jsou v praxi řešitelná příčiny významné části potenciálních problémů neleží v samotné VPN řešení vlastními silami vs. outsourcing VPN a outsourcing v současnosti v podstatě již osvědčená kombinace nelze obecně prohlásit, že outsourcing je vždy tou nejlepší cestou / optimálním řešením rozhodně nejde jen o náklady existují pro i proti nutno vždy vyhodnotit případ od případu i při kompletním outsourcingu mohou vzniknout problémy s dopadem vně společnosti tyto problémy zůstanou vždycky Vaše

Outsourcing Nevýhody velká závislost na externím subjektu (velmi často výrazně asymetrický vztah: velký zákazník vs. malý dodavatel) byť finanční úspory bývají prezentovány jako výhoda, není tomu tak vždycky (přesto i finančně nákladnější outsourcing může být dobrou volbou) zvýšená provozní rizika technologii nemáte pod kontrolou, klíče od důležité části infrastruktury svěřujete cizímu subjektu praktická vymahatelnost sankcí v případě neplnění SLA bývá často sporná

Outsourcing Výhody obecná klišé ušetříte (možná viz dále) Váš podnik se může soustředit na core business nižší počet zaměstnanců (lepší ukazatele produktivity) získáváte poměrně rychle know-how, které nemáte (příp. ani není vašim cílem jej mít) speciálně v případech, kdy vlastního specialistu nevyužijete na plný úvazek je outsourcing výhodný za jistých okolností přímé finanční úspory pozor na nápadně levné nabídky

Bezpečnost není pouze VPN Bezpečnost má širší kontext technická rovina VPN, firewally, antiviry, IDS apod. zabezpečení serverů, databází, aplikací, procesně organizační rovina řadu opatření nelze vynutit technickými prostředky disciplína, firemní kultura nepodceňovat formální aspekty předpisy/dokumentace Důvěřuj, ale prověřuj bezpečnostní audity - technické, organizační (ISO17799) penetrační testy (pronájem hackera )

Závěr Děkuji za pozornost Karel Miko, CISA DCIT, s.r.o. (miko@dcit.cz)

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář