Krypta.cz - Magazín o informační bezpečnosti
Je známo, již několik tisíciletí, že ochranu dat lze zajistit jejich šifrováním. Šifrována by měla být zejména data, která jsou přenášena veřejným prostředím (tedy zjednodušeně řečeno vše co je přenášeno mimo areál firmy, případně mimo firemní infrastrukturu). V některých případech je požadavek na šifrování i u dat přenášených v privátním prostředí.
Šifrování dat lze provést na několika úrovních a několika způsoby. Vlastní šifrování totiž mohou používat jednotlivé aplikace (např. pošta, klient – server aplikace, ...), a/nebo mohou být šifrována veškerá data procházející mezi dvěma body. Volba úrovně šifrování vždy záleží na konkrétních podmínkách a požadavcích zákazníka.
Účelem tohoto článku není úplný rozbor možností šifrování dat, ale zamyšlení nad topologií pro zabezpečení bezpečného přenosu dat ve WAN sítích.
Rozdělení do variant si provedeme podle toho kde je šifrování zajišťováno.
Koncové uzly
Existují různé nadstavbové systémy, nebo nativní využití IPSec (např. ve Windows 2000). Šifrování probíhá plně softwarově (což zatěžuje procesor stanice) nebo s hardwarovou podporou síťového adaptéru (např. Intel PRO/100 S; kromě nativní podpory w2k zajišťuje jeho driver IPSec i pro prostředí Windows NT a Windows 98).
Při pohledu na infrastrukturu sítě pak vypadají zabezpečené přenosy tak, jak jsou zobrazeny na následujícím schématu.
Je vidět, že tento způsob je vhodný zejména pro LAN. Pro WAN je způsob použitelný s určitými omezeními. Omezení spočívají v tom, že ne všechna zařízení v LAN jsou schopna šifrování podporovat – jde např. o jednoduchá serverová zařízení – např. tiskové servery (data tištěného dokumentu jsou posílána nešifrovaně). Stejné omezení je v případě přístupu ke konzole prvků, které šifrování nepodporují (např. aktivní prvky, ale i UNIX servery bez zajištěného šifrování dat). Nešifrovaná data jsou přenášena v LAN i ve WAN.
Šifrování ve WAN – integrované ve směrovačích
Tento typ šifrování může být zajištěn několika mechanismy. Z nich nejběžnější jsou:
proprietární šifrovací mechanismy – např. Nortel Networks WEP protokol (WAN Encryption Protocol); výhodou tohoto mechanismu je zejména to, že šifrování je na úrovni linkové vrstvy OSI – tedy pod protokoly síťové vrstvy a je tedy z pohledu protokolů transparentní; do této kategorie lze zahrnout např. i protokol PPTP;
šifrování IPSec – tento mechanismus je dnes poměrně rozšířený, existuje standardizace i když ne ještě úplná kompatibilita produktů všech výrobců, ale situace se lepší; omezením může být do jisté míry to, že IPSec, jak z jeho názvu vyplývá, zajišťuje šifrování pouze pro IP protokol.
Šifrování ve směrovačích je zajišťováno převážně prostřednictvím software. Některá zařízení (např. nové typy Cisco směrovačů) mají možnost instalace tzv. hardwarového akcelerátoru – tj. speciální karty, která provádí matematické operace pro šifrování namísto procesoru, čímž se poměrně značně zvyšuje výkon zařízení.
Provoz v rámci LAN není v tomto případě šifrován. Šifrování probíhá pouze ve WAN, což ve většině případů stačí a je účelem zavedení šifrování.
Šifrování ve WAN – mimo směrovače
Pro WAN sítě, které již jsou vybavené technologií, jež nestačí z hlediska nároků na šifrování (buď neumožňuje, má nedostatečný výkon, ...), není vše ztraceno a není nezbytně nutná výměna směrovačů. Systém je pouze rozšířen o boxy se šifrovací funkcí. Stávající WAN pak funguje jako přenosová IP síť (jakýsi privátní Internet). Šifrovací funkce je přenesena na VPN servery, které mohou být z hlediska datových toků nastaveny jako průchozí nebo jako paralelní (na obrázku je průchozí způsob).
Provoz v rámci LAN není v tomto případě šifrován. Šifrování probíhá pouze ve WAN, což ve většině případů stačí a je účelem zavedení šifrování.

    Krypta.cz - Magazín o informační bezpečnosti.
    Copyright (C) 2000-2002 Krypta.cz - Michal Till a Jan Kulveit. Všechna práva vyhrazena.
    Tento server dodržuje právní předpisy o ochraně osobních údajů, včetně standardu P3P (policy).
    Redakční systém Geronimo
    Copyright (C) 2001-2002 Michal Till