IPSec se zasniva na međusobnoj autentifikaciji da bi ponudio sigurnu komunikaciju. Iz razloga što je IPSec industrijski standard,  autentifikacija mora da se odradi između sistema koji ne dele centralizovani Kerberos Protocol Authentication Infrastructure. X.509 sertifikati nude još jedan vid autentifikacije za IPSec koji je standardan i može se koristiti ako podesimo PKI (Public Key Infrastructure).

U ovoj lekciji će biti objašnjeno kako možemo da koristimo Public Key sertifikate za autentifikaciju da bismo ostvarili poverljivu i sigurnu komunikaciju na mreži.

Nakon ove lekcije, naučićete da:
  • Objasnite svrhu sertifikata
  • Definišete kad se najčešće koriste sertifikati
  • Objasnite zašto bi trebalo da koristimo sertifikate sa IPSec-om za zaštitu mrežnog saobraćaja
  • Konfigurišete IPSec da koristi sertifikate

X.509 sertifikat (takođe se naziva i digitalni sertifikat) je elektronsko uverenje (Electronic Credential) koje se najčešće koristi za autentifikaciju i sigurnu razmenu informacija na otvorenim mrežama, kao što je Internet, ekstraneti i intraneti.

Sertifikat veoma sigurno obavija javni ključ (Public Key) u entitet koji čuva odgovarajući privatni ključ (Private Key). Na primer, možemo da enkriptujemo (šifrujemo) podatke za primaoca njihovim javnim ključem, sa verovanjem da samo primalac poseduje privatni ključ koji može da dešifruje podatke.

Izdavač sertifikata, naziva se Cetrification Authority (CA) i on digitalno dodeljuje sertifikate. Sertifikati mogu da se dodeljuju korisnicima, kompjuterima ili servisima kao što je IPSec.

Jedna od glavnih prednosti korišćenja sertifikata je to da Host-ovi kada koriste sertifikate više ne moraju da održavaju setove lozinki za individualne subjekte koji moraju da prođu proces autentifikacije da bi mogli da pristupe loklanom kompjuteru ili mreži. Umesto toga, Host jednostavno veruje CA koji dodeljuje digitalne sertifikate.

CA je odgovoran za autentifikaciju i validaciju ključeva za šifrovanje, dešifrovanje. Nakon što CA proveri identitet onog ko poseduje ključ (Key Holder), CA distribuira javni ključ dodeljivanjem X.509 sertifikata. X.509 sertifikat sadrži javni ključ i set atributa. CA može da dodeli sertifikate za specijalne funkcije, kao što je zaštita elektronske pošte ili IPSec, kao dodatak glavnoj svrhi sertifikata.

Sertifikat sadrži sledeće informacije:
  • Javni kriptografski ključ od javnog i privatnog ključa subjekta sertifikata.
  • Informacije o subjektu koji je zahtevao sertifikat.
  • Korisničko ili kompjuterovo X.500 razlikovni naziv (Distinguished Name).
  • E-mail adresu vlasnika sertifikata.
  • Detalje o CA.
  • Datum isteka.
Sistemski administrator može da konfiguriše Group Policy da automatski instalira sertifikat na kompjuteru koji je član domena. Sertifikat može da se koristi na kompjuteru koji je član domena. Sertifikat može da se koristi kad želimo da ponudimo autentifikaciju između dva kompjutera na kojima je konfigurisan IPSec. Sertifikati moraju da budu instalirani na web serverima koji nude sigurne konekcije koristeći SSL (Secure Sockets Layer) za korisnike.

Mnoge organizacije instaliraju svoje Cas (Certification Authority) i dodeljuju sertifikate internim uređajima, servisima i zaposlenima da bi kreirali veoma sigurno kompjutersko okruženje. Zbog toga zaposleni u organizaciji mogu imati nekoliko sertifikata koje je dodelio jedan ili više CA.

Sledeća tabela opisuje neke od načina korišćenja sertifikata:


 
 
 
 

Koristimo sertifikate zajedno sa IPSec-om da bismo zaštitili saobraćaj

Koristeći sertifikate od poverljivog CA kao metoda autentifikacije između dva IPSec hosta dozvoljava celom preduzeću da posluje sa organizacijama koje veruju istom CA. Možemo takođe da koristimo sertifikate da bismo omogućili Windows Routing and Remote Access servis za sigurnu komunikaciju preko interneta sa ruterom drugog proizvođača koji takođe podržava IPSec. Ipak, iz razloga što su sertifikati veoma kompleksni za razliku od Kerberos protokola i Preshared Keys, sertifikati zahtevaju pažljivo planiranje. Sertifikati su samo jedan komponent PKI solucije. Premda PKI zahteva planiranje i upravljanje resursima, on prelazi granice preduzeća da bi dozvolio da spoj identiteta i poverenja bude uspostavljen između organizacija koje posluju.


Druge dve metode za autentifikaciju između dva IPSec hosta uključuju:
  • Kerberos Protocol: Za saobraćaj između kompjutera koji se nalaze u istoj šumi, mogu da koriste defoltni Kerberos autentifikacioni protokol koji predstavlja najprostiju IPSec autentifikaciju i koja ne zahteva nikakvu dodatnu konfiguraciju. Kerberos Protocol je komponent aktivnog direktorijuma tako da on predstavlja deo domenske strukture preduzeća. Ipak, za klijente koji ne podržavaju Kerberos Protocol ili za klijente koji nisu članovi strukture aktivnog direktorijuma, moraćemo da koristimo drugu autentifikacionu metodu kao što su ili Preshared Keys ili digitalni sertifikati X.509
  • Preshared Keys: Preshared Key je veliki nasumično upisani tekst koji se koristi kao lozinka (Password) između dva Host-a. Preshared Keys ne pružaju veliku sigurnost zbog toga što se smeštaju u normalnom tekstu u IPSec polisi (nisu šifrovani). Napadač bi mogao da dođe do administrativnog pristupa na polisi i nakon toga izvadi Preshared Keys.


Konfiguracija IPSec-a da koristi sertifikate

Ako izaberemo i odlučimo da koristimo sertifikate u procesu autentifikacije, moramo da selektujemo CA (Certification Authority). Najčešće Root CA za instalirani sertifikat na kompjuteru. Ne možemo ovo polje da ostavimo prazno.


Konfiguracija IPSec-a da koristi sertifikate:
  1. Otvorimo MMC konzolu koju smo sačuvali u prethodnoj konfiguraciji IPSec-a.
  2. Dupli klik na polisu koju želimo da modifikujemo.
  3. U Policy Properties dijalog boksu kliknemo dva puta na IPSec Security Rule koje želimo da modifikujemo.
  4. U Edit Rule Properties dijalog boksu, na Authentication Methods kartici, kliknemo na Add. Ili, ako želimo da rekonfigurišemo već postojeću metodu, kliknemo na autentifikacionu metodu i zatim kliknemo na Edit.
  5. Selektujemo Use a certificate from this certification authority (CA), i nakon toga kliknemo na Browse.
  6. U Select Certificate dijalog boksu kliknemo na odgovarajući CA i zatim klik na OK.
  7. Na Authentication Method kartici kliknemo na OK.
  8. U Edit Rule Properties dijalog boksu kliknemo na OK.
  9. U Pollicy Properties dijalog boksu kliknemo na OK.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Razumevanje IPSec različitih scenarija za izgradnju 1
  • Razumevanje IPSec različitih scenarija za izgradnju 2