Wirtualna sieć, realne trudności

Jedna warstwa wyżej

Technologie VPN, pracujące w trzeciej warstwie modelu sieciowego, to m.in. MPLS (możliwości tego protokołu opisywaliśmy w CW 20/2002) oraz wspomniany IPSec. Wykorzystuje on dwa mechanizmy zabezpieczające: AH (Authentication Header) i ESP (Encapsulating Security Payload).

W przypadku zastosowania mechanizmu AH specjalny nagłówek identyfikujący jest dodawany do każdego przesyłanego pakietu IPSec - między nagłówkiem IP a resztą pakietu. Zawiera on generowaną za pomocą 160-bitowej funkcji skrótu SHA-1 kryptograficzną sumę kontrolną zawartości pakietu oraz tej części nagłówka IP, która nie powinna się zmieniać podczas transmisji. Dzięki temu odbiorca pakietu, stosując tę samą funkcję skrótu, może obliczyć drugą sumę kontrolną i porównać, czy jej wartość odpowiada umieszczonej w pakiecie przez nadawcę. Jeśli sumy są różne, oznacza to, że pakiet bądź fragment jego nagłówka (określający m.in. adres nadawcy) zostały podczas przesyłania zmodyfikowane. AH nie przeprowadza jednak szyfrowania zawartości pakietu, co wyklucza jego zastosowanie w przypadku komunikacji za pośrednictwem Internetu.

Za szyfrowanie zawartości pakietów IPSec odpowiada mechanizm ESP. Dokonuje on symetrycznego szyfrowania informacji pochodzących z wyższych warstw sieciowych i danych zawartych w pakiecie, ale w odróżnieniu od AH nie zabezpiecza standardowo nagłówka pakietu. W niektórych scenariuszach komunikacyjnych możliwe jest jednak zabezpieczenie z wykorzystaniem ESP również nagłówków pakietów. IPSec udostępnia bowiem dwa sposoby pracy - tryb tunelowania i tryb transportu. Pierwszy z nich jest stosowany wtedy, gdy połączenie z obu stron jest obsługiwane przez bramki VPN, a przesyłane dane w rzeczywistości są adresowane do komputera nie obsługującego protokołu IPSec. Wtedy pakiet IP jest szyfrowany za pomocą ESP, dodawany do niego nowy nagłówek (oryginalne adresy nadawcy i adresata pakietu są zaszyfrowane) i w ten sposób przesyłany na drugą stronę łącza VPN.

W trybie transportu, realizowanym wyłącznie między urządzeniami bądź komputerami obsługującymi IPSec, jest pozostawiany oryginalny nagłówek pakietu, a tylko jego zawartość jest szyfrowana z wykorzystaniem ESP bądź podpisywana z wykorzystaniem AH.

Istotnym elementem budowy systemu opartego na IPSec jest identyfikacja urządzeń, komputerów i użytkowników uczestniczących w komunikacji, a co za tym idzie, wymiana kluczy wykorzystywanych do bezpiecznej transmisji. IPSec obsługuje dwa sposoby zarządzania wymianą kluczy - ręczną i za pomocą IKE (Internet Key Exchange).

Zaczynają się schody

W standardowych środowiskach sieciowych instalacja urządzeń VPN nie nastręcza praktycznie trudności. Problemy zaczynają się, gdy staje się konieczne zestawianie bezpiecznych połączeń z siecią, która korzysta z prywatnej puli adresów IP oraz mechanizmu ich translacji - NAT. Jeśli translacja jest realizowana po obu stronach zestawianego łącza VPN, to może się okazać, że będzie konieczna istotna rekonfiguracja obu sieci, zanim uda się zestawić bezpieczny kanał.

Przykładowo, jeżeli pakiety IPSec korzystające z mechanizmu AH zostaną poddane translacji, to w wyniku zmiany adresów IP w nagłówku pakietu (co jest standardowo wykonywane przez mechanizm NAT), po ich dotarciu do celu wyliczona na podstawie zawartości pakietu (a także nagłówka) suma kontrolna nie będzie się zgadzać z sumą kontrolną zapisaną przez nadawcę. W takim przypadku każdy pakiet będzie odrzucany ze względu na podejrzenie jego nie autoryzowanej modyfikacji.

Rozwiązaniem tego problemu może być zastosowanie, zamiast AH, mechanizmu ESP. Może on funkcjonować w pełni poprawnie, jeśli NAT będzie realizować tylko translację statyczną one-one, czyli kiedy zawsze ten sam publiczny numer IP odpowiada prywatnemu numerowi IP z sieci wewnętrznej. W przypadku stosowania translacji many-one (wiele wewnętrznych numerów IP jest zamienianych na jeden bądź kilka numerów z przedziału zewnętrznego) będzie się zmieniał numer portu wyjściowego używanego do inicjowania komunikacji. Może to być źródłem problemów, gdyż nie wszystkie urządzenia VPN umożliwiają wymianę żądań IKE na innym porcie niż standardowy UDP 500.

Zaufanie do drugiej strony

Administrator, udostępniający zdalnym użytkownikom VPN za pośrednictwem Internetu, musi również podjąć decyzję, czy zostanie wykorzystana funkcja Split Tunneling.

Jeśli jest ona wyłączona, to wszystkie pakiety sieciowe generowane przez komputer zdalnego użytkownika lub zdalną sieć, bez względu na to, czy są adresowane do innych komputerów w firmie czy znajdujących się poza nią, będą kierowane do firmowego serwera VPN. W przypadku wykorzystania trybu Split Tunneling zdalny użytkownik może równocześnie korzystać za pośrednictwem tego samego łącza zarówno z dostępu do firmy poprzez kanał VPN, jak i bezpośredniego dostępu do Internetu. Rozwiązanie to wiąże się z obniżeniem poziomu bezpieczeństwa. W tej sytuacji należy zainstalować na komputerach użytkowników bądź na granicy zdalnej sieci dodatkowe oprogramowanie firewall.

Gdzie firewall, a gdzie VPN?

Jednym z dylematów, z którym musi poradzić sobie administrator konfigurujący połączenia VPN, jest wybór lokalizacji serwera VPN w stosunku do firewalla oddzielającego sieć firmową od Internetu.

Umieszczenie serwera VPN przed firewallem (patrząc od strony łącza internetowego) może się wydawać dobrym pomysłem, gdyż umożliwi firewallowi szczegółowe analizowanie już odszyfrowanego ruchu, ale w rzeczywistości może prowadzić do bezpośrednich ataków włamywaczy na nie chroniony serwer VPN i powodować potrzebę kilkakrotnej identyfikacji użytkowników (na serwerze VPN i firewallu).

Zmiana kolejności obu urządzeń wymusza, by firewall przepuszczał bez sprawdzenia każdy zaszyfrowany pakiet adresowany do serwera VPN i całą komunikację IKE (UDP na porcie 500). Jeśli firewall przeprowadza translację adresów, to musi być wyposażony w zaawansowane rozwiązania, umożliwiające nie budzącą podejrzeń translację pakietów zaszyfrowanych z wykorzystaniem IPSec.

Pewnym rozwiązaniem może być instalacja serwera VPN w strefie zdemilitaryzowanej, zabezpieczonej z obu stron firewallami. Optymalnym rozwiązaniem ze względu na łatwość konfiguracji i obsługi takiego środowiska wydaje się jednak zastosowanie zintegrowanego rozwiązania VPN/firewall.


TOP 200