VPN nie dla każdego

Oprogramowanie Applied Networking Hamachi umożliwia wykorzystanie sieci VPN bez konieczności zaawansowanej konfiguracji systemu, ale może spowodować zagrożenie dla bezpieczeństwa w systemach korporacyjnych.

Oprogramowanie Applied Networking Hamachi umożliwia wykorzystanie sieci VPN bez konieczności zaawansowanej konfiguracji systemu, ale może spowodować zagrożenie dla bezpieczeństwa w systemach korporacyjnych.

Prosty w konfiguracji VPN, który potrafi pracować między sieciami z NAT, może być bardzo dobrym narzędziem dla małych firm, nie posiadających etatowego informatyka. Niestety, równocześnie może też być zagrożeniem dla bezpieczeństwa, gdyż dane przez niego wysyłane nie podlegają kontroli. Typowa realizacja VPN przewiduje bezpośrednie połączenie internetowe między koncentratorem a klientem, względnie pomiędzy koncentratorami. Skonfigurowanie takiego połączenia wymaga profesjonalnej wiedzy i w przypadku niektórych realizacji jest trudne. Najczęściej stosowane kanały VPN korzystają z IPSec, który jest uznawany za protokół względnie bezpieczny. Ale w małych firmach stosowanie komercyjnych, drogich w realizacji IPSec jest najczęściej nieuzasadnione ekonomicznie. Ponadto ma on wadę, nie będzie działać, gdy oba komputery znajdują się wewnątrz sieci z prywatną adresacją.

Możliwości OpenVPN

Gdy nie można użyć IPSec, np. ze względu na problem obcego routera, w wielu przypadkach można zastosować SSL VPN. Bardzo popularnym rozwiązaniem jest OpenVPN, któremu do pracy wystarczy konfiguracja routera, realizująca przekazanie połączenia z zewnątrz na jeden wybrany port TCP lub UDP po jednej ze stron tunelu. OpenVPN ma bardzo niskie wymagania sprzętowe, wspierane są typowe platformy serwerowe i klienckie (Windows, Linux). Działa poprawnie i szybko, zapewniając transport danych, dość dobrze radzi sobie z zaporami, można użyć proxy, może pracować na dowolnym porcie, w tym także 80 i 443 TCP i nie wymaga żadnych specjalnych opcji.

Skonfigurowanie OpenVPN z użyciem współdzielonego klucza zajmuje kilka minut, konfiguracja jest łatwa do skopiowania (jest to kilka plików tekstowych). Jeśli firma posiada co najmniej jedną lokalizację, gdzie istnieje możliwość dostępu z publicznego adresu IP do LAN (np. przez port forwarding), możliwe jest połączenie kilku oddziałów firmy przez ten węzeł.

Poważnym plusem OpenVPN jest możliwość audytu kodu i fakt, że transmisja odbywa się wyłącznie między węzłami. Nie ma żadnego dostawcy ani pośrednika, który brałby w niej udział, bądź występował jako strona przy uzgadnianiu kluczy szyfrujących lub uwierzytelnianiu klienta. Wadą OpenVPN, skonfigurowanego do pracy z użyciem współdzielonego klucza, jest zaś przechowywanie klucza w jawnej postaci na maszynie, która z niego korzysta. Jego ujawnienie powoduje, że można uzyskać dostęp do wszystkich transmisji prowadzonych przy jego użyciu.

Automatyczna konfiguracja VPN

Konfiguracja OpenVPN dla doświadczonego administratora jest prosta, ale z oprogramowania tego mogą skorzystać również mniej doświadczeni użytkownicy. Dostępne są bowiem rozwiązania, które łączą skuteczność SSL VPN z prostotą konfiguracji, umożliwiającą obejście problemów z NAT. Takim programem jest Hamachi, opracowany przez Applied Networking (jest dostępny również w polskiej wersji). Rozwiązanie składa się z aplikacji klienckiej oraz odpowiedniej usługi, utrzymywanej przez dostawców, i występuje w dwóch wersjach - darmowej i płatnej. Wersja darmowa daje możliwość zestawiania tunelu dla 16 maszyn w jednej sieci, limitowana jest także ilość sieci. Natomiast wersja płatna pozwala na połączenie 256 komputerów w 256 osobnych sieciach i realizuje połączenie VPN o wysokiej przepustowości między maszynami wewnątrz NAT. Gdy jeden z węzłów tunelu VPN pracuje przy publicznym adresie (lub stosuje się port forwarding), program zestawia szybkie połączenie bezpośrednie. W odróżnieniu od klienta IPSec, wbudowanego w system Windows, nie ma potrzeby ustawiania adresów IP węzłów, gdyż tunel VPN jest zestawiany nawet wtedy, gdy obie strony pracują przy dynamicznie przydzielanych adresach IP.

Istotną cechą Hamachi jest prostota obsługi. Wystarczy zainstalować program, zalogować się do serwera, a potem utworzyć sieć na jednym z komputerów. Pozostałe do niej dołączą, nawet jeśli są wewnątrz sieci lokalnych, za NAT. Cała transmisja jest szyfrowana przy użyciu standardowych algorytmów (AES-256, 96 bit HMAC-SHA1, identyfikacja serwera za pomocą RSA), zaś każda wiadomość jest numerowana, by uniknąć ataków replay. Dzięki stosowaniu zaawansowanej kryptografii do weryfikacji klienta, VPN jest dość bezpieczny. Aby ochronić wrażliwe systemy Windows, można zablokować kierowane przez VPN połączenia adresowane do usług sieciowych tego systemu.

Sieć Hamachi została pomyślana tak, aby działała nawet wtedy, gdy obie strony pracują w sieciach o prywatnej adresacji. W tym celu operator usługi realizuje połączenie między klientami za pomocą własnej infrastruktury pracującej w publicznej adresacji. Różnica między wersją darmową a płatną dotyczy przepustowości takiego połączenia. Hamachi pracuje na platformach Windows, Linux i Mac OS X. Poważnym minusem stosowania Hamachi jest jednak zależność zestawienia VPN od firmy trzeciej.

Druga strona medalu

W małych firmach, gdzie informatyk na etacie jest rzadkością, SSL VPN może być dobrym rozwiązaniem. W połączeniu z narzędziami wsparcia, takimi jak popularne VNC lub system pomocy w Windows XP Professional, zewnętrzny informatyk może zdalnie pomóc w rozwiązaniu pojawiających się problemów. Obniża to koszty i ułatwia pracę w firmach, których nie stać na stałe zatrudnienie administratora, ani na komercyjną realizację SSL VPN.

Ale z drugiej strony oprogramowanie to może stworzyć zagrożenie dla bezpieczeństwa w dużych firmach, gdzie jego instalacja jest niepożądana. Hamachi umożliwia użytkownikom skorzystanie z VPN w dowolnej lokalizacji, przy typowej konfiguracji sieci połączenie może przejść niezauważone, a dzięki mocnemu szyfrowaniu informacja przesyłana wewnątrz tunelu będzie praktycznie niedostępna dla administratora.

Aby zapobiec wyciekowi danych przy użyciu zainstalowanego na stacji roboczej VPN, należy zablokować instalację wszelkiego oprogramowania. SSL VPN w obu opisywanych realizacjach potrzebuje sterownika tunelowego (tun), którego instalacja wymaga uprawnień systemowych, zatem limitowanie uprawnień blokuje możliwość zainstalowania zarówno OpenVPN, jak i Hamachi. Niestety należy pamiętać, że zabezpieczenie to nie zadziała w przypadku SSL VPN stosujących dostęp bezpośrednio przez przeglądarkę (core access).

Możliwe jest blokowanie połączeń sieciowych, co sprawdza się szczególnie dobrze w przypadku Hamachi. Program domyślnie korzysta z portów TCP 12975 oraz 32976. Pierwszy z nich służy do wstępnego połączenia, drugi jest wykorzystywany podczas sesji. Program potrafi zastosować losowy port do połączeń między węzłami Hamachi, zaś w jego konfiguracji można wybrać dowolny port. Typowe połączenie wychodzące jest kierowane na serwer bibi.hamashi.cc. Warto wiedzieć, że Hamashi potrafi skorzystać z serwerów proxy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200