IPSec se zasniva na međusobnoj autentifikaciji da bi ponudio sigurnu komunikaciju. Iz razloga što je IPSec industrijski standard,  autentifikacija mora da se odradi između sistema koji ne dele centralizovani Kerberos Protocol Authentication Infrastructure. X.509 sertifikati nude još jedan vid autentifikacije za IPSec koji je standardan i može se koristiti ako podesimo PKI (Public Key Infrastructure).
Ova lekcija objašnjava kako možemo da koristimo Public Key sertifikate za autentifikaciju da bismo ostvarili poverljivu i sigurnu komunikaciju na mreži.

Nakon ove lekcije naučićete da:
  • Objasnite svrhu sertifikata.
  • Definišete kad se najčešće koriste sertifikati.
  • Objasnite zašto bi trebalo da koristimo sertifikate sa IPSec-om za zaštitu mrežnog saobraćaja.
  • Konfigurišete IPSec da koristi sertifikate.

X.509 sertifikat (takođe se naziva i digitalni sertifikat) je elektronsko uverenje (Electronic Credential) koje se najčešće koristi za autentifikaciju i sigurnu razmenu informacija na otvorenim mrežama, kao što je Internet, Extraneti i Intraneti.

Sertifikat veoma sigurno obavija javni ključ (public key) u entitet koji čuva odgovarajući privatni ključ (private key). Na primer, možemo da enkriptujemo (šifrujemo) podatke za primaoca sa njihovim javnim ključem, sa verovanjem da samo primalac poseduje privatni ključ koji može da dešifruje podatke.

Izdavač sertifikata se naziva Cetrification Authority (CA) i digitalno dodeljuje sertifikate. Sertifikati mogu da se dodeljuju korisnicima, kompjuterima, ili servisima kao što je IPSec.

Jedna od glavnih prednosti korišćenja sertifikata je to da hostovi, kada koriste sertifikate, više ne moraju da održavaju setove lozinki za individualne subjekte koji moraju da prođu proces autentifikacije da bi mogli da pristupe loklanom kompjuteru ili mreži. Umesto toga, host jednostavno veruje CA koji dodeljuje digitalne sertifikate.

CA je odgovoran za autentifikaciju i validaciju ključeva za šifrovanje, dešifrovanje i autentifikaciju. Nakon što CA proveri identitet onog ko poseduje ključ (key holder), CA distribuira javni ključ dodeljivanjem X.509 sertifikata. X.509 sertifikat sadrži javni ključ i set atributa. CA može da dodeli sertifikate za specijalne funkcije, kao što je zaštita e-mail-a ili IPSec, kao dodatak glavnoj svrsi sertifikata.


Sertifikat sadrži sledeće informacije:
  • Javni kriptografski ključ od javnog i privatnog ključa subjekta sertifikata.
  • Informacije o subjektu koji je zahtevao sertifikat.
  • Korisničko ili kompjuterovo X.500 oblikovano ime (distinguished name).
  • E-mail adresu vlasnika sertifikata.
  • Detalje o CA.
  • Datum isteka.

Sistemski administrator može da konfiguriše Group Policy da automatski instalira sertifikat na kompjuteru koji je član domena. Sertifikat može da se koristi na kompjuteru koji je član domena. Sertifikat može da se koristi kad želimo da ponudimo autentifikaciju između dva kompjutera na kojima je konfigurisan IPSec. Sertifikati moraju da budu instalirani na Web serverima koji nude sigurne konekcije koristeći SSL (Secure Sockets Layer) za korisnike.

Mnoge organizacije instaliraju svoje CAs (Certification Authority) i dodeljuju sertifikate internim uređajima, servisima i zaposlenima da bi kreirali veoma sigurno kompjutersko okruženje. Upravo zbog toga zaposleni u organizaciji može imati nekoliko sertifikata koje je dodelio jedan ili više CA.

Sledeća tabela opisuje neke od načina korišćenja sertifikata:





 
 
 

Sertifikati, zajedno sa IPSec-om se koriste u cilju zaštite saobraćaja

Koristeći sertifikate od poverljivog CA kao metode autentifikacije između dva IPSec hosta dozvoljava celom preduzeću da posluje sa organizacijama koje veruju istom CA. Možemo takođe da koristimo sertifikate da bismo omogućili Windows Routing and Remote Access servis za sigurnu komunikaciju preko Interneta sa ruterom drugog proizvođača koji takođe podržava IPSec. Ipak, zbog toga što su sertifikati veoma kompleksni za razliku od Kerberos protokola i Preshared Keys-a, sertifikati zahtevaju pažljivo planiranje. Sertifikati su samo jedan komponent PKI solucije. Premda PKI zahteva planiranje i upravljanje resursima, on prelazi granice preduzeća da bi dozvolio da spoj identiteta i poverenja bude uspostavljen između organizacija koje posluju.

Druge dve metode za autentifikaciju između dva IPSec hosta uključuju:
  • Kerberos Protocol: Za saobraćaj između kompjutera koji se nalaze u istoj šumi može biti iskorišćen defoltni Kerberos autentifikacioni protokol koji predstavlja najprostiju IPSec autentifikacija koja ne zahteva nikakvu dodatnu konfiguraciju. Kerberos Protocol je komponent aktivnog direktorijuma, tako da on predstavlja deo domenske strukture preduzeća. Ipak, za klijente koji ne podržavaju Kerberos Protocol ili za klijente koji nisu članovi strukture aktivnog direktorijuma, moraćemo da koristimo druge autentifikacione metode kao što su ili Preshared Keys ili digitalni sertifikati X.509.
  • Preshared Keys: Preshared Key je veliki nasumično upisani tekst koji se koristi kao lozinka (password) između dva hosta. Preshared Keys ne pružaju veliku sigurnost zbog toga što se smeštaju u normalnom tekstu u IPSec polisi (nisu šifrovani). Napadač bi mogao da dođe do administrativnog pristupa na polisi i nakon toga izvadi Preshared Keys.


Konfiguracija IPSec-a da koristi sertifikate

Ako izaberemo i odlučimo da koristimo sertifikate u procesu autentifikacije, moramo da selektujemo CA (Certification Authority). Najčešće se koristi Root CA za instalirani sertifikat na kompjuteru. Ovo polje se ne ostavlja prazno.


Konfiguracija IPSec-a pri korišćenju sertifikata:
  1. Otvorimo MMC konzolu koju smo sačuvali u prethodnoj konfiguraciji IPSec-a.
  2. Dupli klik na polisu koju želimo da modifikujemo.
  3. U Policy Properties dijalog boksu dupli klik na IPSec Security Rule koje želimo da modifikujemo.
  4. U Edit Rule Properties dijalog boksu, na Authentication Methods kartici kliknemo na Add. Ili, ako želimo da rekonfigurišemo već postojeću metodu, kliknemo na Authentication Methods i zatim na Edit.
  5. Selektujemo Use a certificate from this certification authority (CA). Nakon toga kliknemo na Browse.
  6. U Select Certificate diajlog boksu, kliknemo na odgovarajući CA i zatim klik na OK.
  7. Na Authentication Method kartici kliknemo na OK.
  8. U Edit Rule Properties dijalog boksu kliknemo na OK.
  9. U Pollicy Properties diajlog boksu kliknemo na OK.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Implementacija IPSec-a sa sertifikatima 1
  • Implementacija IPSec-a sa sertifikatima 2
  • Implementacija IPSec-a sa sertifikatima 3
  • Implementacija IPSec-a sa sertifikatima 4