7.4 Extensible Authentication Protocol – Transport Level Security (EAP- TLS)
EAP-TLS е IETF стандарт за силни автентикационни методи, базирани на сертификати с публичен ключ. Чрез него клиентът представя потребителски сертификат пред сървъра, който от своя страна представя сървърски сертификат пред клиента.
Първото гарантира силна автентикация на потребителя пред сървъра, а второто - подсигуряване на клиента, че е стигнал точно до сървъра, който е очаквал. И двете системи разчитат на верига от достоверни източници (trusted authorities), за да се уверят във валидността на предложения сертификат.
Потребителският сертификат може да се съхранява в компютъра на VPN клиента или на външна smart карта. И в двата случая сертификатът е недостъпен без някаква форма на идентификация на потребителя (PIN код или размяна на име и парола между потребителя и клиентския компютър). Този подход отговаря на критерия на повечето security експерти за нещо, което знаеш плюс нещо, което имаш като начин за удостоверяване на самоличността на потребител.
Атаки върху VPN компютърни мрежи
VPN мрежите може да бъдат подложени на следните външни атаки:
8.1 DoS атаки
През последните няколко години има голям ръст на VPN решенията, които използват TCP като основен протокол за пренос на пакети. Независимо дали е обикновен SSL/TCP tunneling или по-сложен VPN протокол, те всички се базират на концепцията за безсесийна защита на трафика и използват TCP за преминаване през firewall-и и proxy-та. TCP-базираните VPN-и дават сигурност на иначе неподдържани мрежови кофигурации, но идват и със своите проблеми. За разлика от VPN-ите, базирани на IPSec, които пренасят данни през IP или UDP, този вид VPN изисква работеща TCP връзка да предава пакетите между машините. Докато TCP е доказан протокол както за голям като обем (FTP), така и за сигурен пренос на данни (HTTPS), той все пак е податлив на някои DoS атаки, които придобиват доста по-голяма важност в контекста на виртуални частни мрежи, работещи по TCP.
Сподели с приятели: |
