|
|
Osnovna ideja korištenja IPsec-a u bežičnim mrežama jeste da bežičnu mrežu smatramo kao i javnu(nesigurnu) mrežu. Dakle bežičnu mrežu treba staviti van intraneta organizacije i na taj način povećati sigurnost mreža. Kada se želi primijeniti IPsec u bežičnoj mreži prvi korak je instalacija klijentskog programa(ukoliko već sami operacijski sustav nema podršku) koji podržava IPsec na svako računalo u bežičnoj mreži. Na taj način se osigurava da klijent mora prije nego što se pridruži bežičnoj mreži uspostaviti IPsec tunel do žične mreže i samo kroz njega on može komunicirati sa drugim računalima. Promet se filtrira na više slojeva- na 2 i 3. sloju OSI modela i na taj način se osigurava komunikacija isključivo preko sigurnog tunela. Model mreže koja koristi IPsec se može vidjeti na
slijedećoj slici:
Na slici su vidljivi bitni entiteti:
- Klijentska programska i sklopovska podrška koja omogućava komunikaciju klijenta i pristupne točke(mrežna kartica, antena, prikladni pogonski programi.)
- VPN klijentska programska podrška sa osobnim vatrozidom( firewall ) omogućava uspostavu sigurnog tunela od kraja do kraja tj. od klijentskog računala do VPN koncentratora. Vatrozid štiti korisnika od raznih opasnosti sa mreže.
- Pristupna točka pruža usluge spajanja klijentima, ali i vrši filtriranje po IP adresama između klijenta i mreže.
- Preklopnik na drugom sloju OSI modela spaja lokalnu mrežu sa pristupnom točkom. Neki noviji modeli imaju mogućnost korištenja VLAN ACL(VACL) koja dodaje još jedan sloj u filtriranju adresa.
- Preklopnik na trećem sloju OSI modela ima ulogu usmjeravanja IP paketa prema raznim modulima no pruža i uslugu filtriranja IP paketa sa bežične mreže.
- RADIUS poslužitelj se koristi pri autentifikaciji korisnika žične/bežične mreže. Opcionalno komunicira sa OTP poslužiteljom.
- OTP (One-time password) poslužitelj ima ulogu autorizacije OTP informacija koje šalje RADIUS poslužitelj.
- DHCP poslužitelj daje adrese VPN klijentima prije i poslije uspostavljanja VPN-a.
- VPN koncentrator ima ulogu autentificiranja klijenata, a može i dodjeljivati IP adrese klijentima(one koje je dobio od DHCP poslužitelja) .
Kao što vidimo uvođenje VPN-a u neku organizaciju donosi nove, velike investicije. Na svakoj organizaciji je da procijeni isplati li se uvoditi tako kompleksan sustav s obzirom na njihove potrebe.
IPsec otklanja nekoliko vrsta opasnosti:
- Krađa paketa
Krađa paketa je nemoguća jer se koristi jaka enkripcija svih podataka koji se šalju u eter. Novija programska podrška dopušta da se tunel automatski digne čim se korisnik pokuša spojiti na mrežu tj. kada mu se dodijeli ispravna IP adresa. Na ovaj način je izbjegnuto da korisnik mora ručno podizati tunel, on je riješen svih tehničkih detalja.
- Napad čovjek-u-sredini
Ovaj tip napada je onemogućen korištenjem enkripcije i autentifikacije klijenata.
- Neovlašten pristup
Kako je jedino inicijalnim protokolima(DHCP za dodjelu privremene IP adrese, IKE( Internet Key Exchange ) koji se brine o raspodijeli ključeva te ESP kojim se uspostavlja siguran tunel) dozvoljen prolazak preko filtara nije moguće da bi napadač mogao doći do podataka iz lokalne mreže preko pristupne točke. Dodatno se mogu pojačati mjere sigurnosti na VPN koncentratoru ovisno o vrsti korisnika koji se žele spojiti.
- Umetanje i krađa IP paketa
Napadač može snimiti IP paket ali ga ne može ponovno iskoristiti jer neće proći provjeru i autentifikaciju kroz sve filtre.
- Umetanje i krađa ARP paketa
Moguće je da napadač snimi ARP promet na mreži no ne može doći do nikakvih podataka jer se koristi jaka i sigurna enkripcija(3DES ili u novije vrijeme AES)
- Otkrivanje topologije mreže
Kako su dozvoljeni protokoli samo IKE, DNS, DHCP te ESP napadač ne može prodrijeti sa ICMP (Internet Control Message Protocol) paketima u mrežu, a tako ne može ni otkriti topologiju mreže.
Ovome se protokolu zamjera velika kompleksnost. Kompleksnost sustava je u suprotnosti sa njegovom sigurnošću jer što je sustav kompleksniji veća je i mogućnost da se dizajnerima potkradu greške. Sustav je kompleksan ponajprije jer je na njegovom dizajnu radilo mnogo ljudi pa se nastojalo da se sve strane zadovolji nauštrb jednostavnosti dizajna sustava. Naime ranije je napomenuto da se može transportni način rada, uz manje preinake, u potpunosti izbaciti i koristiti samo tunelski način rada. Isto bi se moglo zaključiti i za AH protokol koji vrši samo autentifikaciju korisnika i on bi se mogao zamijeniti sa ESP protokolom koji dozvoljava autentifikaciju i enkripciju. Nadalje većina stručnjaka smatra da bi se trebalo učiniti autentifikaciju u ESP protokolu učiniti obvezatnom, a ne kako je sada, opcionalnom. Opcionalna bi trebala ostati samo enkripcija.
No nakon svega možemo zaključiti da je IPsec/VPN tehnologija najbolji izbor za maksimalnu sigurnost bežičnih računalnih mreža i unatoč visokoj cijeni uvođenja i kompleksnosti sustava trebalo bi je koristiti u svakoj važnijoj bežičnoj računalnoj mreži. |
|
|