VPN W 5 MINUT! JAK DZIAŁA TOSIBOX?
Rozpoczynamy cykl artykułów technicznych omawiających zasadę działania oraz konfigurację urządzeń i oprogramowania fińskiej marki Tosibox. Na początek podstawy działania opatentowanej technologii firmy Tosibox.
Animacja dostępna poniżej wyjaśnia podstawy technologii TOSIBOX.
Etapy przedstawione na filmie to kolejno:
I. FIZYCZNE PAROWANIE SPRZĘTOWE
- Proces parowania sprzętowego jest rozpoczynany poprzez podłączenie klucza sprzętowego Tosibox Key do portu USB dowolnego routera Tosibox Lock.
- Podczas tego procesu urządzenia wymieniają swoje certyfikaty bezpieczeństwa i klucze publiczne.
- Wymiana certyfikatów jest podstawą do automatycznego ustanowienia szyfrowanego połączenia VPN w przyszłości.
- Po zakończonym procesie parowania sprzętowego port USB routera jest blokowany i nie można wykonać kolejnego parowania sprzętowego. Nadanie uprawnień dostępowych dla innych użytkowników do danego routera odbywa się poprzez oprogramowanie klucza sprzętowego Tosibox Key.
II. ZESTAWIANIE POŁĄCZENIA
- Klucz i router rejestrują się w rozproszonej usłudze MatchMaker.
- Połączenie między usługą MatchMaker a urządzeniami Tosibox (klucz, router) korzysta z szyfrowania TLS. Matchmaker wykorzystuje infrastrukturę klucza publicznego (PKI) w standardzie X.509 do uwierzytelniania, szyfrowania, integralności i niezaprzeczalności za pośrednictwem kryptografii klucza publicznego i prywatnego oraz certyfikatów elektronicznych.
- Klucz inicjuje żądanie połączenia z routerem.
- Korzystając z PKI po weryfikacji i uwierzytelnieniu certyfikatów elektronicznych zostaje zestawiony tunel VPN.
- Tunel VPN jest zestawiany bezpośrednio między urządzeniami Tosibox. Połączenie jest szyfrowane sprzętowo. Sprzętowe szyfrowanie i deszyfrowanie danych odbywa się w punktach końcowych połączenia (router Tosibox Lock, komputer z podłączonym kluczem sprzętowym lub aktywną licencją Tosibox SofKey, urządzenie mobilne z aktywną licencją Tosibox Mobile Client).
Informacje dotyczące usługi MatchMaker:
- Rozproszona usługa Matchmaker jest monitorowana w trybie ciągłym 24/7, przez firmę Tosibox Oy
- MatchMaker jest potrzebny do wzajemnego wykrycia się urządzeń Tosibox znajdujących się w różnych sieciach
- Usługa Matchmaker korzystając z PKI weryfikuje certyfikaty urządzeń i zestawia szyfrowany sprzętowo tunel VPN
Informacje dotyczące przechowywania danych i technologie kryptograficzne wykorzystywane przez Tosibox:
PRYWATNOŚĆ DANYCH I INFORMACJI
Firma Tosibox Oy, NIE przechowuje żadnych szczegółów dotyczących urządzeń klientów, kluczy prywatnych ani haseł.
STANDARDY WYKORZYSTYWANE W PRODUKTACH TOSIBOX
Technologie kryptograficzne wykorzystywane przez TOSIBOX
|
VPN crypto architecture |
PKI with 2048/3072/4096 bit RSA keys, physical or remote key exchange |
|
VPN data encryption |
AES 128/192/256 bit CBC. Blowfish is being phased out, present in older releases. |
|
VPN control channel encryption |
Managed by VPN library, encryption scheme is negotiated at the beginning of the connection setup, for example AES 256 bit (symmetric AES-256-CBC) |
|
Key Exchange |
TLS Diffie-Hellman and client certificates |
|
Matching method (first time) |
Physical key exchange or secure remote matching over the internet |
|
Matching method (remotely) |
PKI, RSA signed |
|
Tosibox Node and HUB firewall |
Linux iptables |
|
Remote Support from Tosibox |
SSH over VPN, off by default in edge Nodes, on by default in HUB |
|
MatchMaking connection security |
TLS/SSL with PKI key exchange and client certificates, data encryption AES 128 bit |
|
Information privacy |
Tosibox does NOT require details of customers’ devices, private keys or passwords beyond device public IP addresses and device ID's used for |
|
Required open firewall ports |
Outbound TCP: 80, 443, 8000, 57051 Outbound UDP: random, 1-65535 Inbound: none |
|
HUB |
IP connections from the Internet towards and from HUB must be non-restricted. HUB provides firewalling for securing the network |