Wirtualna sieć, realne trudności

Wdrożenie technologii Virtual Private Network (VPN) wydaje się zadaniem dość łatwym. Sytuacja komplikuje się w przypadku stosowania zaawansowanych rozwiązań z dziedziny IP, np. translacji adresów NAT.

Wdrożenie technologii Virtual Private Network (VPN) wydaje się zadaniem dość łatwym. Sytuacja komplikuje się w przypadku stosowania zaawansowanych rozwiązań z dziedziny IP, np. translacji adresów NAT.

Wirtualne sieci prywatne coraz częściej są alternatywą braną pod uwagę w przypadku łączenia odległych sieci lokalnych. Zamiast samodzielnie instalować niezbędną infrastrukturę bądź dzierżawić wiele niezależnych łączy WAN, firmy decydują się na agregowanie całego ruchu między centralą a odległymi punktami z wykorzystaniem jednego fizycznego łącza do sieci publicznej. W ramach tego łącza zestawianych jest wiele kanałów komunikacyjnych VPN.

Technologia VPN bywa wykorzystywana również do zabezpieczania komunikacji między siecią firmową a komputerami zdalnych użytkowników. Bez względu na lokalizację użytkownik może połączyć się za pomocą modemu z lokalnym dostawcą usług internetowych i uzyskać bezpieczne połączenie ze swoją firmą.

Rodzaje VPN

Sieci VPN można klasyfikować na dwóch poziomach: funkcjonalnym i technologicznym. Podział funkcjonalny wyróżnia dwa rodzaje łączy: klient-sieć i sieć-sieć.

Pierwszy typ sieci wirtualnych może być zastosowany w kilku celach. Podstawowym jest zapewnienie bezpiecznej, szyfrowanej komunikacji pomiędzy serwerem VPN (ukrytym zazwyczaj za firmowym firewallem, a w szczególnych przypadkach zintegrowanym z rozwiązaniem firewall) a komputerem użytkownika dołączonym do dowolnej sieci obsługującej protokół IP.

Nowym zastosowaniem połączeń VPN klient-sieć jest wykorzystywanie ich również do łączenia użytkowników pracujących w ramach sieci lokalnej. Jest ono zalecane tam, gdzie zachodzi konieczność szyfrowania komunikacji między komputerem użytkownika a serwerami. W takim przypadku zazwyczaj sieć lokalna jest dzielona za pośrednictwem firewalla na kilka izolowanych stref, umożliwiając jednocześnie uprawnionym użytkownikom dostęp poprzez firewall do serwera VPN. Zastosowanie tego modelu komunikacji uniemożliwia podsłuchanie danych przesyłanych pomiędzy stacją roboczą a serwerem.

Innym rodzajem VPN są połączenia sieć-sieć. W tym przypadku dedykowane urządzenia szyfrujące zestawiają między sobą bezpieczny kanał komunikacyjny. Rozwiązanie tego typu znajduje zastosowanie zarówno w modelu intranetowym, w którym łączone są oddziały jednej firmy, jak i ekstranetowym, gdzie w bezpieczny sposób są łączone sieci niezależnych, współpracujących ze sobą firm. Chociaż oba modele wymagają obustronnej identyfikacji urządzeń VPN (tak aby nie było możliwe "podszycie" się włamywaczy na drugim końcu łącza), to w każdym przypadku inny powinien być sposób ich terminowania (zakończenia). Jeśli łączone są oddziały firmy, to dwie sieci mogą stosować firewalle wyłącznie do ochrony przed zagrożeniami z Internetu. Gdy są łączone sieci dwóch niezależnych firm, należy zwrócić uwagę na to, by partnerowi udostępniać wyłącznie tę funkcjonalność, która jest mu niezbędna - serwer VPN terminujący połączenie powinien stać w wydzielonej podsieci oddzielonej firewallami.

Wiele protokołów

Z technologicznego punktu widzenia sieci VPN można podzielić ze względu na warstwę modelu sieciowego OSI. Najnowszy protokół używany w połączeniach VPN - IP Security (IPSec) - działa w trzeciej warstwie modelu sieciowego; starsze protokoły: PPTP i L2TP - w drugiej warstwie.

Najstarszym i najsłabszym z protokołów jest PPTP, wykorzystywany przede wszystkim przy połączeniach dial-up. Jego zaletą jest możliwość transportowania protokołów wyższych warstw, dzięki czemu może on być używany do enkapsulacji ramek IP, IPX i AppleTalk. Opracowano go na bazie protokołu PPP. Wykorzystuje związane z nim mechanizmy identyfikacji PAP i CHAP. Nie zapewnia jednak dużego poziomu bezpieczeństwa (PAP przesyła hasła w postaci czystego tekstu), co spowodowało, że producenci próbowali samodzielnie rozszerzać możliwości tego protokołu. Microsoft zaproponował mechanizm identyfikacji MS-CHAP, a IETF - PPP EAP (Enhanced Authentication Protocol). Obecnie PPTP wychodzi z użytku. Tworzone z jego wykorzystaniem łącza VPN nie oferują bowiem mechanizmów szyfrowania.

Protokołem, który miał zastąpić PPTP, jest L2TP (Layer 2 Tunneling Protocol). Podobnie jak PPTP, umożliwia on transportowanie protokołów trzeciej warstwy i wykorzystuje w procesie identyfikacji użytkownika mechanizmy PAP, CHAP, a także promowany przez IETF - EAP. Podstawową nowością L2TP jest obsługa protokołu IPSec, który można zastosować do szyfrowania całej transmisji.