KAME

Jest to implementacja protokołów IPSec oraz IPv6 stworzona zgodnie z zaleceniami RFC przez kilka japońskich firm. Przeznaczony jest on wyłącznie dla systemów BSD (FreeBSD, NetBSD, OpenBSD). Obsługuje wiele algorytmów, w tym ESP, AH i ISAKMP. Może funkcjonować zarówno w sieciach IPv4, jak i IPv6. Kryptografia jest w nim oparta na OpenSSL. Brak rozszerzenia NAT Traversal. Adres:http://www.kame.net

Oferta SSL VPN

W sieciach SSL VPN wykorzystywany jest protokół SSLv3 lub nowszy TLSv1. Podczas zestawiania połączenia VPN SSL ma miejsce:

• ustalenie parametrów sesji pomiędzy stronami: rodzaj szyfru, długość klucza, wybór kompresji;
• wzajemna autoryzacja serwera i klienta oraz ustanawianie klucza sesyjnego (SSL/TLS Handshake Protocol);
• transmisja szyfrowana.

OpenVPN

OpenVPN służy do budowy sieci VPN opartych na protokole SSL/TLS. Jest łatwy w obsłudze i posiada rozbudowane możliwości konfiguracyjne. Dostępne są wersje dla kilku systemów operacyjnych, m.in. Linux, Windows, OpenBSD, FreeBSD, NetBSD czy Solaris. Wersja 1 wymaga, aby dla każdego połączenia klienta otwarty był oddzielny port. Było to dosyć uciążliwe i przy dużej liczbie użytkowników należało zrobić sporą dziurę w zaporze. Wersja 2 (obecnie beta) potrafi obsługiwać wielu klientów na tym samym porcie. Klient różni się od serwera odmiennym plikiem konfiguracyjnym. Załączona pomoc opisuje, w jaki sposób wygenerować pary certyfikatów za pomocą OpenSSL. To jedno z najpopularniejszych rozwiązań SSL VPN. Wymagane jest zainstalowanie pakietu OpenSSL oraz biblioteki LZO przeprowadzającej kompresję.

Konfiguracja OpenVPN jest bardzo prosta i oprócz instalacji niezbędnych pakietów, wymaga ustawienia kilku parametrów VPN w pliku konfiguracyjnym. Adres:http://openvpn.net

SSL-Explorer

To jedno z najłatwiejszych w konfiguracji rozwiązań VPN, oparte na Javie. Do tworzenia bezpiecznych połączeń wykorzystuje on protokół SSL. Wszystkie połączenia szyfrowane są kluczem o długości 128 bitów. Interfejs zarządzania dostępny jest przez HTTP lub polecenia konsoli. Z poziomu przeglądarki można skonfigurować wszystkie ustawienia, zarządzać użytkownikami oraz generować i importować klucze. Udostępnia zasoby intranetowe poprzez przekazywanie stron. Można go zintegrować z bazą użytkowników MS Active Directory. Dostęp do zasobów zależy od konfiguracji profilu, właściwego dla danej lokalizacji klienta. Wszystkie połączenia są uwierzytelniane i mogą być przekazywane przez proxy. Jest transparentny dla aplikacji HTTP. Dostępne są wersje dla systemów MS Windows XP/2000 oraz Red Hat. Inne systemy wspierane są nieoficjalnie. Brak ograniczenia liczby użytkowników. Nie jest wymagana instalacja oprogramowania klienckiego - wystarczy zwykła przeglądarka. Do poprawnego działania wymaga otwarcia na zewnątrz tylko jednego portu, definiowanego podczas konfiguracji SSL-Explorera. Adres:http://3sp.com

Yavipin

Kolejnym oprogramowaniem służącym do budowy VPN jest Yavipin (Yet another VPN), który służy do połączeń pomiędzy dwoma węzłami. Funkcjonuje on na systemie Linux w przestrzeni użytkownika - nie ma potrzeby rekompilacji kernela ani instalacji łat. Yavipin wprowadza do pakietów niewielką ilość dodatkowych danych (26 bajty) - przykładowo w systemach IPSec VPN dane wtrącane (ESP z DES i MD5) zajmują 32 bajty. Ruch przez węzły przeprowadzające translację adresów NAT jest przesyłany za pomocą pakietów UDP/IPv4. Pakiety przesyłane pomiędzy węzłami są szyfrowane za pomocą algorytmów Blowfish i uwierzytelniane poprzez HMAC-MD5. Yavipin zawiera mechanizm zapobiegający retransmisji i powtórnej akceptacji tego samego pakietu. Chroni przed atakami DoS typu TCP SYN. Klucze prywatne Diffie-Hellman i klucze sesyjne są często zmieniane i kasowane z pamięci. Wymaga instalacji pakietu OpenSSL. Adres:http://yavipin.sourceforge.net

VPNmonitor

To oprogramowanie napisane w Javie, służące do obserwacji ruchu w sieci. Może monitorować zarówno sieci PPTP, IPSec, jak i SSL. Oferuje on wizualizację ruchu przesyłanego pomiędzy komputerami. Adres:http://vpnmonitor.sourceforge.net

<hr size="1" noshade>Rzadziej stosowanymi implementacjami VPN są Amrita (SSLv3), Tinc, Vpnd, Virtual Tunel oraz Cerberus - dystrybucja ograniczona do terytorium USA.

Popularny do niedawna Poptop jest oparty na protokole PPTP (Point to Point Tunneling Protocol) zaproponowanym przez Microsoft. Jest on uważany za mało bezpieczny mechanizm VPN (możliwość przejęcia kluczy).

Na koniec

IPSec funkcjonuje na warstwie IP i jest niezależny od aplikacji. Każda aplikacja korzystająca z protokołu IP może komunikować się za pośrednictwem sieci IPSec VPN. SSL definiuje bezpieczny mechanizm wymiany zaszyfrowanych danych na warstwie aplikacji. Jest niezależny od protokołów niższych warstw, takich jak IP. Pozwala to uniknąć problemów przy przejściu przez występujące po drodze serwery NAT (Network Address Translation). W przypadku IPSec należy stosować mechanizmy NAT Traversal.

Wdrażając bezpieczne sieci VPN, należy mieć na uwadze, że:

• pomiędzy użytkownikami powinien być szyfrowany i uwierzytelniany;
• część protokołów wykorzystywanych w VPN przeprowadza uwierzytelnienie, ale nie szyfrowanie;
• klucze kryptograficzne powinny byś zmieniane w miarę możliwości jak najczęściej i przechowywane bezpiecznie;
• poziom i mechanizmy bezpieczeństwa powinny być zgodne po dwóch stronach ustanawianego tunelu;
• nikt poza administratorem sieci nie powinien mieć możliwości ingerencji w parametry bezpieczeństwa.