Usługi IP VPN

Firmy, które nie chcą inwestować w sprzęt VPN oraz jego obsługę, mogą wykupić usługę zarządzanego VPN u firm zewnętrznych. Przykładowo, warszawski Urząd Miasta połączony jest z 22 oddziałami siecią VPN firmy Crowley. Większość operatorów oferuje już usługę zestawiania korporacyjnych sieci VPN. Jest to oferta atrakcyjna głównie dla małych firm, które nie muszą inwestować we własną infrastrukturę i personel. Utrzymywanie sieci VPN oferowane jest czasami łącznie z usługami bezpieczeństwa. Według szacunków Infonetics, firmy wydają 10 razy więcej na usługi VPN niż na produkty VPN. Zaczynają pojawiać się firmy, które oferują kompleksowe zarządzanie bezpieczeństwem, w tym także VPN. Sieci VPN znajdują się w portfolio większości operatorów działających w Polsce (m.in. Dialog, Energis, GTS Polska, Netia czy TP SA).

Sieci VPN zapewniają trzy elementy bezpieczeństwa transmisji danych: uwierzytelnienie, poufność i integralność.

Identyfikacja użytkowników i przypisanie im uprawnień jest dla systemu zdalnego dostępu zadaniem krytycznym. Najczęściej wykorzystywane mechanizmy uwierzytelniania to LDAP (Lightweight Directory Access Protocol) oraz RADIUS (Remote Authentication Dial-In User Service).

Podczas definiowania reguł kontroli dostępu można różnicować użytkowników, w zależności od posiadania certyfikatu. Pracownik łączący się z domowego PC, posiadającego swój certyfikat, jest traktowany jako zaufany użytkownik i może uzyskać większe uprawnienia w dostępie do sieci korporacyjnej niż użytkownik logujący się z komputerów publicznych (w kawiarence czy kiosku internetowym), nie posiadających odpowiednich certyfikatów.

Sieć VPN odsłania sieć korporacyjną na ataki przychodzące z zaufanych punktów zdalnych, dlatego dobrą praktyką jest umieszczanie tych usług w sieci zdemilitaryzowanej DMZ. Strefa DMZ jest wydzielonym fragmentem sieci, w którym umieszczone są serwery usług wymagające otwarcia na ruch pochodzący z Internetu, oddzielony od sieci firmowej np. firewallem.

Zauważalnym trendem jest integracja klienta VPN z narzędziami firewall, IPS czy antywirusowym.

Produkt VPN powinien zapewniać:

• system zarządzania kontrolujący dostęp do serwerów;
• obsługę różnych typów aplikacji;
• sprawdzanie konfiguracji zdalnego komputera pod względem bezpieczeństwa;
• sprawdzanie, czy na zdalnej maszynie nie ma oprogramowania szpiegującego (spyware), które mogłoby przechwycić wszystkie dane, łącznie z hasłami, kluczami itp.;
• wymuszanie stosowania silnej kryptografii i uwierzytelniania, po rozszyfrowaniu transmisji brama powinna chronić sieć wewnętrzną przed atakami, które mogą przychodzić w ruchu od zdalnego użytkownika (wirusy, robaki, konie trojańskie itp.);
• czyszczenie maszyny klienckiej z wszelkich danych pobranych podczas zdalnej sesji;
• odpowiednią wydajność szyfrowania.

Bezpieczeństwo firmowych danych zwiększa fakt, że użytkownicy mając łatwy dostęp do sieci firmowej, zaprzestają przenoszenia dokumentów na wymiennych dyskach, laptopach czy przesyłania ich jako załączniki poczty.

Sieci VPN zmierzają w kierunku udostępnienia usług transmisji głosu, danych i wideo - tzw. V3PN (Voice, Video and Data Virtual Private Network).

Szczegółowe informacje techniczne w NetWorld:

VPN za darmo - NW 3/2005

Mobilne usługi VPN - NW 7-8/2005

Rozwiązania SSL VPN - NW 9/2005