PACE POLAND - Dystrybutor TOSIBOX i Salvador Technologies

JAK TOSI CHRONI POŁĄCZENIA ZDALNE I SIEĆ OT? TOŻSAMOŚCI URZĄDZEŃ, SZYFROWANIE I ARCHITEKTURA SYSTEMU

Ankieta bezpieczeństwa od działu IT

Wdrażasz zdalny dostęp do maszyny na obiekcie klienta. Zanim dział IT zezwoli na instalację routera VPN w sieci zakładowej, przysyła listę pytań: jak uwierzytelniają się urządzenia, gdzie przechowywane są klucze prywatne, kto utrzymuje serwery pośredniczące i czy producent może odczytać przesyłane dane.

W artykule ILE OSZCZĘDZA ZDALNY DOSTĘP TOSI policzyliśmy zyski z korzystania z tego systemu. Tu opisujemy, jak jest zbudowany warstwa po warstwie. Ten tekst możesz przekazać działowi IT jako gotową odpowiedź.

Zdalny dostęp Tosi to system VPN, w którym w procesie produkcji każdy router Tosi (Lock) i każdy klucz Tosi Key otrzymuje własną parę kluczy kryptograficznych, a klucz prywatny jest przechowywany na urządzeniu. Router przyjmuje zdalne połączenia wyłącznie od kluczy, które zostały z nim wcześniej sparowane. Połączenia są szyfrowane punkt do punktu, domyślnie algorytmem AES 256-bit, a dane można odczytać wyłącznie w urządzeniach końcowych. Serwery pośredniczące w Tosi Cloud, w tym serwery MatchMaker i relay, utrzymuje i zabezpiecza producent, a serwery MatchMaker nie przenoszą danych klienta.

Tożsamość urządzenia jest generowana na etapie produkcji

Urządzenia Tosi rozpoznają się nawzajem poprzez ich klucze kryptograficzne. Dla każdego routera i każdego klucza podczas procesu produkcji generowana jest para kluczy: publiczny do szyfrowania danych i prywatny do ich odszyfrowania.

Klucz prywatny jest przechowywany w urządzeniu. W kluczu Tosi Key jest on przechowywany w bezpiecznej pamięci kryptoprocesora zgodnego ze standardem FIPS 140-2, natomiast w routerze w zabezpieczonym obszarze pamięci. W systemie plików klucze prywatne są dodatkowo szyfrowane. Nie da się ich wyodrębnić, skopiować ani zmodyfikować, a producent ich nie przechowuje.

Klucze publiczne są certyfikowane (podpisane) przez nadrzędny urząd certyfikacji producenta (Tosi Root CA). W momencie nawiązywania połączenia między kluczem użytkownika a routerem następuje dwustronna wymiana certyfikatów X.509 w celu weryfikacji ich autentyczności przez zaufany urząd. Podstawione (nieautoryzowane) urządzenie nie przejdzie pomyślnie tego procesu, gdyż nie dysponuje certyfikatem podpisanym przez Tosi Root CA.

Wymiana kluczy publicznych odbywa się podczas parowania: fizycznie, przez włożenie klucza do portu USB routera, albo zdalnie, kodem parowania zdalnego zatwierdzanym kluczem Master Key. Obie procedury opisujemy w artykułach DWIE METODY PAROWANIA KLUCZA TOSIBOX Z ROUTEREM TOSIBOX i JAK ZDALNIE SPAROWAĆ KLUCZ TOSI Z ROUTEREM TOSI. Bez poprawnego klucza kryptograficznego zestawienie zdalnego połączenia z routerem jest niemożliwe.

Jak zestawia się połączenie

Zestawienie tunelu VPN przebiega automatycznie, w pięciu krokach:

Tosi Cloud jest stale dostępny i nasłuchuje prób połączeń.
Klucz i router rejestrują się w usłudze MatchMaker, gdy tylko uzyskają dostęp do Internetu. Połączenie z serwerem MatchMaker jest szyfrowane TLS i obustronnie uwierzytelniane certyfikatami w ramach infrastruktury PKI.
Użytkownik wybiera router w oprogramowaniu klucza i inicjuje żądanie połączenia wraz z własnymi parametrami. Usługa MatchMaker przekazuje te parametry do właściwego routera.
Tunel VPN jest obustronnie uwierzytelniany między oprogramowaniem klucza a routerem, certyfikatami i PKI.
Tunel VPN zestawia się bezpośrednio między routerem a kluczem. Połączenie jest uwierzytelnione i szyfrowane sprzętowo punkt do punktu, a szyfrowanie i deszyfrowanie danych odbywają się wyłącznie w punktach końcowych.

Serwery MatchMaker pełnią rolę koordynatora: zbierają informacje o stanie urządzeń, przekazują polecenia kontroli dostępu i parametry inicjalizacji VPN. Nigdy nie przenoszą danych klienta.

Gdy bezpośrednie połączenie UDP nie jest możliwe, na przykład gdy zapora sieciowa blokuje wychodzący ruch UDP, system przechodzi w wolniejszy tryb pośredni (relayed) po TCP, przez serwer relay w Tosi Cloud. Także wtedy dane pozostają uwierzytelnione i zaszyfrowane punkt do punktu. Serwer relay przekazuje wyłącznie zaszyfrowany ruch. Zapora sieciowa (firewall) nie powinna blokować wychodzącego ruchu UDP ani podmieniać numerów portów po drodze (przekazywanie 1 do 1). Komplet wymagań sieciowych zebraliśmy w artykule JAKIE PORTY OTWORZYĆ, ŻEBY TOSI DZIAŁAŁ.

Szyfrowanie połączenia

Tosi opiera się na zgodnej ze standardami IETF implementacji VPN i kryptosystemie klucza publicznego RSA. Podczas zestawiania połączenia urządzenia uwierzytelniają się z użyciem TLS, a dane w tunelu są szyfrowane domyślnie algorytmem AES 256-bit. Routery przechowują klucze szyfrujące o długości 4096 bitów, klucze użytkowników o długości 2048 bitów. Atak typu replay jest ograniczany mechanizmami TLS 1.2.

Dostęp zdalny do sieci wymaga klucza Tosi i uprawnień nadanych przez administratora środowiska. Klucz Tosi Key zapewnia uwierzytelnianie dwuskładnikowe (2FA): pierwszym składnikiem jest fizyczne posiadanie urządzenia, drugim hasło zdefiniowane przez użytkownika. Samo przechwycenie hasła nie wystarczy do uzyskania dostępu.

Przesyłane dane są czytelne wyłącznie na urządzeniach końcowych: routerze, koncentratorze VPN Tosi HUB i kluczu użytkownika. Po drodze nie ma serwera ani osoby, która mogłaby je odczytać. Dotyczy to także serwerów producenta.

Całkowicie zamknięty firewall routera

Router Tosi (Lock) ma od strony portu WAN całkowicie zamknięty firewall (Linux iptables). Firewall odrzuca wszystkie nieautoryzowane próby połączeń. Interfejs zarządzania pozwala konfigurować zasady komunikacji urządzeń, ale firewalla nie można w pełni wyłączyć ani otworzyć niezabezpieczonych portów.

Dzięki opatentowanej metodzie nawiązywania połączeń w urządzeniach Tosi nie działają usługi nasłuchujące, wystawione do Internetu. Połączenie zestawia się nawet wtedy, gdy obie strony są za NAT lub firewallem, więc router nie potrzebuje żadnych otwartych portów przychodzących. Odpowiednio skonfigurowany firewall skutecznie chroni również przed atakami typu DoS: wszelkie próby przeciążenia urządzenia sztucznym ruchem z internetu są natychmiast odrzucane.

Sieć LAN za routerem można dodatkowo zabezpieczyć włączając filtrację adresów MAC, poprzez kontrolę routingu między interfejsami LAN i poprzez wyłączenie dostępu do Internetu dla urządzeń w sieci LAN routera.

Podpisane cyfrowo aktualizacje firmware'u

Router codziennie sprawdza, czy w repozytorium producenta jest nowa wersja oprogramowania. Proces aktualizacji oprogramowania może zostać zainicjowany przez użytkownika w interfejsie zarządzania lub zrealizowany automatycznie przez urządzenie (opcja auto update) zgodnie z harmonogramem zdefiniowanym przez użytkownika.

Pobrany pakiet przechodzi weryfikację sum kontrolnych SHA-256, a wszystkie obrazy firmware są podpisane certyfikatem w ramach wewnętrznej infrastruktury PKI, którą kontroluje producent. Jeśli weryfikacja podpisu się nie powiedzie, pakiet jest odrzucany i usuwany z pamięci urządzenia.

Tosi Cloud: serwery, których nie musisz utrzymywać

Serwery systemu działają w rozproszonej infrastrukturze Tosi Cloud w wielu centrach danych w różnych lokalizacjach geograficznych. Gdy jedna lokalizacja ma awarię, ruch jest automatycznie przekierowywany. Infrastrukturą zarządza, monitoruje ją i aktualizuje producent, który posiada certyfikat bezpieczeństwa ISO 27001.

Producent zleca też niezależne audyty bezpieczeństwa: regularne testy penetracyjne produktów i infrastruktury backendowej oraz statyczne i dynamiczne testy bezpieczeństwa kodu, własnego i open source.

Dla Twojego budżetu oznacza to, że serwer VPN, jego administracja i łatanie podatności są po stronie producenta. Rachunek kosztów z tego wynikający policzyliśmy w artykule ILE OSZCZĘDZA ZDALNY DOSTĘP TOSI.

Co zostaje po Twojej stronie

Architektura rozwiązania Tosi zwalnia Cię z konieczności utrzymywania serwerów, jednak kilka obowiązków wciąż spoczywa na administratorze środowiska.

Zarządzanie kluczami i uprawnieniami. Pierwszy klucz w środowisku pełni rolę klucza głównego (Master Key) i służy do definiowania praw dostępu do poszczególnych routerów. To, jak dodawać kolejne klucze oraz nadawać im uprawnienia, wyjaśniamy w artykule JAK DODAĆ KOLEJNE KLUCZE TOSI. Zalecamy regularne przeprowadzanie przeglądów przyznanych uprawnień dostępowych.

Hasła interfejsu zarządzania. Hasło routera musi zostać zmienione przy pierwszym logowaniu. Reguły złożoności są wymuszane: mała i wielka litera, cyfra, długość co najmniej 8 znaków. Po 10 nieudanych próbach logowania dostęp jest blokowany na 10 minut, co skutecznie utrudnia łamanie hasła metodą prób.

Zdalne wsparcie producenta. Dostęp serwisowy producenta do routera jest domyślnie wyłączony. Włącza go administrator na ograniczony czas, po którym dostęp serwisowy wygasa.

Aktualizacje. Mechanizm jest automatyczny i podpisany kryptograficznie, ale to administrator decyduje, czy urządzenia mają aktualizować się same, i pilnuje, by firmware był aktualny.

Sprzęt i licencje

Opisane zabezpieczenia są wbudowane w każde końcowe urządzenie systemu:

Router Tosi (Lock): instalowany na obiekcie z całkowicie zamkniętym firewallem od strony WAN.
TOSIBOX Key: klucz sprzętowy USB z kryptoprocesorem zgodnym z FIPS 140-2 i uwierzytelnianiem dwuskładnikowym.
Licencja TOSIBOX SoftKey: dostęp z komputera bez klucza sprzętowego. W pakietach 5 licencji i 10 licencji pojedyncza licencja wychodzi taniej.
Licencja TOSIBOX Mobile Client: dostęp z telefonu lub tabletu. Pakiety 5 licencji i 10 licencji z tą samą zasadą oszczędności dla zespołów.

Dział IT klienta przysłał ankietę bezpieczeństwa, a Ty wolisz spędzić ten czas przy maszynach? Napisz do nas, pomożemy przygotować odpowiedzi dopasowane do Twojej instalacji.

Najczęstsze pytania

Czy producent Tosi może odczytać dane przesyłane przez VPN?

Nie. Połączenia Tosi są szyfrowane punkt do punktu, a dane są odszyfrowywane wyłącznie w urządzeniach końcowych: routerze Tosi (Lock), koncentratorze VPN Tosi HUB i kluczu użytkownika. Serwery MatchMaker koordynują zestawianie połączeń i nie przenoszą danych klienta, a serwery relay przekazują wyłącznie zaszyfrowany ruch. W systemie nie ma backdoorów, a producent nie przechowuje kluczy prywatnych ani haseł użytkownika.

Gdzie przechowywane są klucze prywatne urządzeń Tosi?

Klucz prywatny jest zapisywany w urządzeniu podczas produkcji i nigdy go nie opuszcza. W kluczu TOSIBOX Key przechowuje go zamknięta pamięć kryptoprocesora zgodnego ze standardem FIPS 140-2, w routerze Tosi (Lock) zabezpieczony obszar pamięci. W systemie plików klucze prywatne są dodatkowo szyfrowane. Nie da się ich wyodrębnić, skopiować ani zmodyfikować.

Czy router Tosi (Lock) ma otwarte porty od strony Internetu?

Nie. Router Tosi (Lock) od strony interfejsu WAN korzysta z w pełni restrykcyjnego firewalla (opartego na Linux iptables). Nie ma możliwości dezaktywacji firewalla. Zestawienie połączenia nie wymaga żadnych otwartych portów przychodzących, a połączenia wychodzące korzystają z portów TCP 80, 443, 8000 i 57051 oraz losowych portów UDP. Zamknięty firewall blokuje również ataki typu DoS.

Jak Tosi zabezpiecza aktualizacje oprogramowania routera?

Router codziennie sprawdza dostępność aktualizacji w repozytorium producenta. Pobrany pakiet przechodzi weryfikację sum kontrolnych SHA-256, a obrazy firmware są podpisane certyfikatem w ramach wewnętrznej infrastruktury PKI producenta. Jeśli weryfikacja podpisu się nie powiedzie, pakiet jest odrzucany i usuwany z pamięci urządzenia, a pobieranie jest ponawiane.

Jak Tosi uwierzytelnia urządzenia przy parowaniu?

Każdy router Tosi (Lock) i klucz TOSIBOX Key otrzymuje w produkcji parę kluczy kryptograficznych, a klucze publiczne są podpisane przez urząd certyfikacji producenta (Tosi Root CA). Podczas parowania urządzenia wymieniają certyfikaty X.509 i weryfikują, że zostały wystawione przez zaufany urząd. Podstawione urządzenie z fałszywym kluczem nie przejdzie tej weryfikacji.