W dużych firmach, wykorzystujących sieci rozległe, oprócz zabezpieczenia dostępu do sieci lokalnych, konieczne jest wdrożenie rozwiązań zabezpieczających komunikację w sieciach rozległych. Jest to szczególnie istotne, jeśli komunikacja między oddziałami firmy bądź też z głównymi partnerami i klientami realizowana jest w oparciu o Internet. Wtedy nigdy nie wiadomo, kto i w którym miejscu "podsłuchuje" przesyłane informacje.

Zestaw rozwiązań umożliwiających realizację bezpiecznej komunikacji z wykorzystaniem łączy WAN i połączeń modemowych nazywany jest technologią sieci wirtualnych VPN (Virtual Private Networking). Jednak sam termin VPN może być bardzo mylący, gdyż często przypisuje się mu różne znaczenia. Najszerszą definicją VPN jest określenie tym mianem dowolnej sieci, zbudowanej w oparciu o sieć publiczną, podzieloną w taki sposób, by mogli z niej korzystać indywidualni klienci. Jednak taka definicja powoduje, że za sieć VPN uważa się również sieci Frame Relay, X.25 i ATM, w których mogą być budowane połączenia PVC. Takie VPN-y łatwo jednak precyzyjniej określić, opisując je jako sieci VPN budowane w oparciu o drugą warstwę modelu sieciowego.

Nowością, zyskującą coraz większą popularyzację, są sieci VPN wyższego poziomu - budowane w oparciu o współdzielone sieci wykorzystujące protokół IP. Ogólnie wyróżnić można trzy rodzaje takich sieci: VPN-y, umożliwiające zdalny dostęp indywidualnych użytkowników do sieci korporacyjnej; VPN-y intranetowe, pozwalające w oparciu o sieci publiczne budować intranety łączące oddalone biura i lokalizacje firmy; VPN-y extranetowe, zapewniające najwyższy poziom bezpieczeństwa komunikacji między siecią firmy a sieciami jej głównych partnerów bądź klientów.

Struktura VPN

Połączenia VPN umożliwiają pracownikom firmy zdalny dostęp do sieci korporacyjnej za pośrednictwem Internetu bez obawy, że przesyłane przez nich dane zostaną przechwycone przez nieuprawnione osoby. Z perspektywy użytkownika łącze VPN wygląda w rzeczywistości jak dedykowana linia komunikacyjna, kończąca się bezpośrednio w sieci firmowej. Sama infrastruktura wykorzystywana do realizacji takiego połączenia nie ma znaczenia. Całość komunikacji między stacją użytkownika a siecią korporacyjną jest w takim przypadku szyfrowana, co uniemożliwia jej wykorzystanie przez osoby podsłuchujące transmisję.

Podobnie jest w przypadku tworzenia stałych łączy VPN między biurami firmy w oparciu o sieci publiczne. Takie połączenie zachowuje się w identyczny sposób, jak dedykowane łącze dzierżawione, łączące dwa zakańczające je routery, pomimo że w rzeczywistości między routerami pracującymi w biurach firmy znajdować się może jeszcze wiele innych routerów, wchodzących w skład infrastruktury dostawcy usług sieciowych.

Sieci wirtualne VPN zyskują coraz większą popularność. Spowodowane jest to głównie tym, że zapewniając należyte bezpieczeństwo informacji, pozwalają jednocześnie obniżyć koszty komunikacji - szczególnie w przypadku zdalnych użytkowników. Zamiast wykonywać międzymiastowe bądź międzynarodowe połączenie do sieci korporacyjnej, pracownik przebywający z dala od firmy łączy się z dowolnym dostawcą usług internetowych i zestawia za pośrednictwem Internetu bezpieczne połączenie VPN.

Struktura połączenia VPN

Technologia VPN wprowadza kilka istotnych pojęć, których poznanie i zrozumienie jest podstawą wymaganą do konstruowania sieci wirtualnych. Każde połączenie w sieci wirtualnej ma dwa końce. Na jednym z nich pracuje serwer VPN, na drugim - klient VPN. Połączenie pomiędzy klientem a serwerem VPN może być zrealizowane w oparciu o kilka protokołów komunikacyjnych, oferujących różne poziomy zabezpieczeń transmisji i różne sposoby negocjacji parametrów transmisji. Najpopularniejsze obecnie protokoły komunikacyjne stosowane w transmisjach VPN to PPTP (Point-to-Point Tunneling Protocol), opracowany przez Microsoft oraz L2TP (Layer Two Tunneling Protocol), powstały w wyniku połączenia najlepszych cech protokołu PPTP i L2F (Layer Two Forwarding) promowanego jeszcze do niedawna przez Cisco.

Protokoły PPTP i L2TP służą do stworzenia kanału komunikacyjnego między klientem a serwerem w połączeniu z VPN. Kanał taki nazywany jest tunelem, a protokoły PPTP i L2TP określane są jako protokoły tunelujące. Nazwa ta wzięła się stąd, że w rzeczywistości zarówno PPTP, jak i L2TP "opakowują" właściwe pakiety sieciowe w miejscu inicjowania bezpiecznej komunikacji (np. na kliencie VPN), służą do ich przesłania łączem sieci wirtualnej, a następnie "odpakowują" je z drugiej strony tunelu (np. na serwerze VPN). Taki proces "opakowywania" pakietów dodatkowym protokołem określany jest jako enkapsulacja.

Same protokoły PPTP i L2TP nie zapewniają jeszcze bezpieczeństwa komunikacji. Standardowo przesyłane za ich pośrednictwem pakiety nie są szyfrowane. Aby można było mówić o prawdziwym połączeniu VPN, konieczna jest realizacja enkrypcji przesyłanych pakietów. W przypadku protokołu PPTP szyfrowanie może być realizowane z wykorzystaniem protokołu MPPE (Microsoft Point-to-Point Encryption). Szyfrowanie transmisji L2TP można zrealizować przy użyciu protokołu IPSec (IPSec może być również wykorzystany w połączeniach PPTP).

Podstawową różnicą między szyfrowaniem MPPE i IPSec jest fakt, że pierwszy z nich umożliwia wyłącznie realizację bezpiecznej komunikacji pomiędzy klientem VPN a serwerem VPN, czyli na obszarze funkcjonowania tunelu (MPPE wykorzystuje szyfrowanie algorytmem RC4 o 40- lub 128-bitowym kluczu). IPSec pozwala przedłużyć bezpieczną komunikację poza serwer VPN. Protokół ten pozwala więc nawiązać bezpieczne szyfrowane połączenie nie tylko między klientem VPN a serwerem VPN, ale także między klientem VPN, poprzez serwer VPN, aż do serwera w sieci lokalnej udostępniającego konkretną usługę, z której chce skorzystać klient VPN. Warunkiem realizacji takiej komunikacji jest jednak, aby docelowy serwer obsługiwał protokół IPSec. Zastosowanie protokołu IPSec wymaga również istnienia w sieci centrum autoryzacyjnego, potrafiącego wystawiać i weryfikować elektroniczne certyfikaty dla klientów i serwerów uczestniczących w komunikacji z wykorzystaniem tego protokołu. IPSec szyfruje dane z wykorzystaniem 56-bitowego standardu DES lub 168-bitowego standardu 3DES.

Cel: bezpieczeństwo

Budowa bezpiecznej komunikacji w sieci rozległej nie sprowadza się wyłącznie do realizacji tuneli komunikacyjnych, w których pakiety są enkapsulowane i szyfrowane. Oprócz wdrożenia rozwiązania umożliwiającego budowę kanałów VPN, konieczne jest jeszcze zastosowanie wielu innych rozwiązań wspomagających osiągnięcie celu, jakim jest w pełni bezpieczna komunikacja pomiędzy zdalnym użytkownikiem, ze zdalnymi biurami, a centralną siecią korporacyjną.

VPN nie eliminuje potrzeby stosowania firewalla, a wręcz przeciwnie, wymusza jego zastosowanie i to niejednokrotnie między serwerem VPN a siecią korporacyjną. Wymusza również zastosowanie serwerów autoryzacyjnych i certyfikacyjnych, potrafiących z jednej strony zidentyfikować użytkownika, z drugiej, przekazać do serwera VPN i firewalla zestaw tzw. polis opisujących, jakie prawa ma dany użytkownik, jaką komunikację może realizować, z którymi serwerami i aplikacjami może się łączyć i jakie pasmo sieciowe może wykorzystywać w przypadku każdej z tych aplikacji. Niemniej istotny staje się również billing wszystkich usług realizowanych w sieci rozległej. Firma udostępniająca komunikację VPN nie tylko dla swoich pracowników, ale także dla zewnętrznych klientów i partnerów, musi mieć możliwość rozliczenia wszystkich realizowanych przez nich transmisji.

Biorąc pod uwagę wszystkie te elementy, łatwo dojść do wniosku, że najważniejszy dla powodzenia realizacji sieci VPN jest wybór wszystkich rozwiązań, które się na nią składają. Chociaż dostępne są już jasno zdefiniowane standardy dotyczące zarówno autoryzacji klienta i serwera VPN, jak i mechanizmu wymiany kluczy wymaganych do realizacji szyfrowania i samego szyfrowania, to zmuszenie urządzeń pochodzących od różnych producentów do realizacji połączenia VPN jest nadal nie lada wyzwaniem. Dlatego też zalecane jest opracowanie dokładnego scenariusza komunikacji w docelowej sieci VPN, wybranie najbardziej satysfakcjonujących elementów składowych takiej sieci i przetestowanie, czy rzeczywiście współpracują one ze sobą w taki sposób, jakiego wymaga firma.

Na rynku zauważalne są już trendy, które spowodować mogą pełną standaryzację komunikacji w sieciach wirtualnych. Najwięksi producenci w swoich klasach, Cisco i Microsoft, współpracowali nad dostarczeniem klienta VPN obsługującego protokół IPSec, zawartego w systemie Windows 2000. Gwarantują one także, że routery Cisco mogą komunikować się z wykorzystaniem protokołów PPTP, L2TP i IPSec z serwerami Windows 2000, pełniącymi funkcję serwerów VPN - serwerów autoryzacyjnych, umożliwiających dostęp za pośrednictwem protokołu RADIUS do usług katalogowych Active Directory, przechowujących informacje o wszystkich użytkownikach uprawnionych do komunikacji VPN.