VPN za darmo

Jak zwiększyć bezpieczeństwo połączeń w sieciach rozległych? Jak połączyć odległe od siebie komputery w sieć "lokalną"? W jaki sposób zapewnić poufność w sieciach WiFi? Zestawić je w wirtualną sieć prywatną VPN. W artykule zostaną pokazane możliwości i ograniczenia programowych VPN spod znaku open source.

Jak zwiększyć bezpieczeństwo połączeń w sieciach rozległych? Jak połączyć odległe od siebie komputery w sieć "lokalną"? W jaki sposób zapewnić poufność w sieciach WiFi? Zestawić je w wirtualną sieć prywatną VPN. W artykule zostaną pokazane możliwości i ograniczenia programowych VPN spod znaku open source.

Sieci VPN zapewniają dostęp zdalnym pracownikom do firmowych serwerów i intranetu, łączą oddziały firmy oraz tworzą ekstranety pomiędzy zaufanymi partnerami.

Obszarem, w którym rozwiązania VPN powinny znaleźć szerokie zastosowanie, są sieci WiFi. Stosowany w nich protokół WEP (Wired Equivalent Privacy) nie zapewnia poufności, a nadawany sygnał radiowy jest dostępny dla każdej anteny znajdującej się w jego zasięgu, także tej należącej do intruza. W celu łamania zabezpieczeń WEP i podsłuchu transmisji sieci WLAN powstały nawet specjalne narzędzia, np. WepCrack, AirSnort (http://airsnort.shmoo.com ) - mutacja Snorta znanego z sieci przewodowych.

Bezpieczne sieci VPN mogą być tworzone za pomocą jednego z trzech protokołów: L2TP (Layer 2 Tunneling Protocol), IPSecurity lub SSL/TLS (Secure Sockets Layer/Transport Layer Security). Dominującym obecnie protokołem jest IPSec, ale coraz większą popularnością cieszy się SSL/TLS.

Za darmo, czy nie?

Stwierdzenie, że systemy VPN spod znaku open source są darmowe, może być czasami mylące. Wprawdzie samo oprogramowanie rozprowadzane na licencji GNU GPL (General Public Licence) jest bezpłatne, ale za to na wdrożenie tych systemów należy poświęcić zdecydowanie więcej czasu, niż w przypadku rozwiązań "z pudełka". Produkty sprzętowe wydają się lepszym rozwiązaniem w przypadku bardzo małej oraz bardzo dużej liczby użytkowników. Niewielka liczba użytkowników może być obsługiwana przez łatwo konfigurowalne, tanie urządzenia, z których obsługą poradzi sobie nawet niedoświadczony użytkownik. W przypadku sieci VPN koszt wdrożenia i utrzymania rozwiązania open source przez administratora może być wyższy. Przykładowo, sprzętowe rozwiązanie dla firmy z kilkoma użytkownikami to wydatek dla 5 użytkowników - 900 zł (Check Point Safe@Office 100), a dla 10 - 1466 zł (ZyXEL ZyWall 5). Rozwiązania sprzętowe ze względu na wydajność sprawdzają się lepiej także w dużych zastosowaniach korporacyjnych. Często funkcja VPN jest oferowana jako dodatek do sprzętowej zapory lub bramy sieci WiFi. Usługi sieci VPN oferowane są już także przez rodzimych dostawców Internetu.

Rozwiązania IPSec VPN

VPN za darmo

Dwa tryby IPSec

IPSec dostępny jest obecnie dla każdego systemu operacyjnego. Zyskał on miano najbezpieczniejszego rozwiązania do budowy sieci VPN. IPSec jest kolekcją protokołów. IPSec VPN używa powszechnie przyjętych algorytmów kryptograficznych: DES, 3DES, AES, RC4 oraz zapewniających integralność danych: MD5, SHA. Mogą zostać wykorzystane trzy mechanizmy:

  • ESP (Encapsulating Security Payload), odpowiada za szyfrowanie (DES, 3DES, AES, Blowfish) i/lub uwierzytelnianie danych oraz sprawdzanie integralności pakietów (MD-5, SHA);
  • AH (Authentication Header), dostarcza usługi uwierzytelniania, nie jest już wspierany przez najnowsze wersje oprogramowania;
  • IKE (Internet Key Exchange), negocjuje parametry połączenia - ISAKMP (Internet Security Association and Key Management Protocol) oraz przeprowadza wymianę kluczy (np. protokół Diffie-Hellmana).
Oprogramowanie klienckie nawiązuje połączenie przez Internet do bramy IPSec VPN, po czym inicjuje procedurę wymiany kluczy IKE. Po pomyślnym uwierzytelnieniu zdalnej maszyny, zestawiany jest tunel VPN. Jednorazowe utworzenie takiego tunelu IPSec pomiędzy odległymi maszynami umożliwia przeprowadzenie dowolnej liczby transmisji. IPSec funkcjonuje w warstwie sieci modelu OSI. Sieci VPN mogą pracować w dwóch trybach:

  • tunelowym, w którym ruch jest szyfrowany jedynie pomiędzy bramami - tworzą one w ten sposób tunel, przez który mogą się komunikować urządzenia w sieci nieobsługujące IPSec;
  • transportowym, gdzie sam host przeprowadza transmisję IPSec.

FreeS/WAN

FreeS/WAN (Secure Wide Area Network) do niedawna był najpopularniejszą i najbardziej zaawansowaną implementacją IPSec dla środowisk Linux. Oferuje on silną kryptografię. Celem jego twórców było uniemożliwienie podsłuchu transmisji internetowych m.in. przez agencje rządowe. Ze względu na istniejące ograniczenia eksportowe USA, dotyczące oprogramowania kryptograficznego, nie jest on dostarczany wraz z jądrami systemów operacyjnych. Aby uniknąć sankcji prawnych, za twórców kodu podaje się obywateli Kanady.

W skład pakietu wchodzą:

  • KLIPS (Kernel Ipsec Support), rozszerzenie jądra systemu o IPSec, implementację ES;
  • Pluto, demon implementujący IKE, przeprowadza negocjacje połączeń z innymi systemami.
Aby umożliwić transmisję IPSec w sieciach, na drodze których występuje translacja adresów NAT, należy zainstalować łatę z funkcją NAT Traversal. Możliwe jest również doinstalowanie obsługi certyfikatów cyfrowych X.509 oraz Smart Cards. Nie jest obsługiwany pojedynczy DES (Data Encryption Standard), uważany za niebezpieczny. Oferowany jest natomiast potrójny DES (3DES) oraz AES (Advanced Encryption Standard). FreeS/WAN nie obsługuje transmisji w trybie transportowym, ale pojedynczy host może funkcjonować jako własna brama. Implementacja FreeS/WAN dostępna jest dla większości dystrybucji Linux. Z powodu rozbieżności pomiędzy założeniami projektu (minimalna funkcjonalność) a oczekiwaniami użytkowników (dodatkowe funkcje, np. NAT Traversal, różne algorytmy kryptograficzne) projekt zawieszono, powołując dwa poniższe. Adres:http://www.freeswan.org

OpenSwan

VPN za darmo

Różnice pomiędzy wersjami StrongSwan a OpenSwan

OpenSwan to kontynuacja projektu FreeS/WAN. Na stronie internetowej projektu można przeczytać, że został on zapoczątkowany przez grupę deweloperów "sfrustrowanych polityką, jaka towarzyszyła oprogramowaniu FreeS/WAN". Początkowo projekt nazywał się Super FreeS/WAN. Dystrybucja domyślnie zawiera oprogramowanie, które w edycji FreeS/WAN należało doinstalowywać w postaci łatek: certyfikaty X.509, RSA, Smart Cards, NAT Traversal. Oferuje szyfrowanie AES oraz funkcję skrótu SHA2. W założeniu jego twórców powinien on być prostszy w implementacji niż FreeS/WAN. Projekt jest sponsorowany przez kilka firm, m.in. Novell. Nad jego rozwojem czuwa kanadyjska firma Xelerence. Dostępny jest dla większości środowisk Linux, także dla rozprowadzanej przez Novell wersji SUSE oraz Sun Solaris. Adres:http://www.openswan.org

StrongSwan

Pomysłodawcą projektu StrongSwan jest prof. A. Steffen pracujący wcześniej nad rozszerzaniem możliwości FreeS/WAN, a na co dzień zajmujący się bezpieczeństwem komunikacji na uniwersytecie w Zurychu. Oferuje następujące protokoły szyfrowania: 3DES, AES, Serpent, Twofish lub Blowfish. Uwierzytelnianie oparte jest na certyfikatach X.509 lub kluczach współdzielonych. Za pośrednictwem protokołu HTTP lub LDAP możliwe jest sprawdzanie listy odwołanych certyfikatów CRL (Certificate Revocation Lists) oraz bieżącej ważności certyfikatu - OCSP (Online Certificate Status Protocol). Posiada wbudowaną funkcję NAT Traversal. Adres:http://www.strongswan.org

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200