VPN jako sieć zdalnego dostępu

Zgodnie z definicją VPN Consortium wirtualna sieć prywatna jest siecią przekazu danych korzystającą z publicznej infrastruktury telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania i procedur bezpieczeństwa zachowuje poufność danych. Korzyścią z zestawiania sieci IPSec/SSL VPN poprzez ogólnodostępną sieć teleinformatyczną jest obniżenie kosztów zdalnego dostępu do sieci firmowych w stosunku do rozwiązań opartych na liniach wdzwanianych (dial-up) lub dzierżawionych.

Istnieją trzy rodzaje sieci VPN: tzw. zaufane, bezpieczne oraz hybrydowe, będące połączeniem dwóch poprzednich. Należy zauważyć, że zaufane sieci VPN oraz bezpieczne VPN są zupełnie odmiennymi technologiami. Zdarza się bowiem, że są one mylnie ze sobą utożsamiane.

Pierwsze sieci VPN były tworzone poprzez dzierżawę obwodów wirtualnych od dostawcy telekomunikacyjnego. Mogą być one wykorzystywane w taki sam sposób, jak kable fizyczne w sieci lokalnej.

Ze względu na to, że trasa zestawionych (dzierżawionych) obwodów wirtualnych przechodzi przez współdzielone urządzenia przełączające, istnieje zagrożenie podsłuchu transmisji, np. przy wykorzystaniu sniferów. W założeniu klient sieci VPN obdarza zaufaniem dostawcę, że ten zachowa integralność i poufność przekazu - stąd zaufane sieci VPN. Sieci te mogą być tworzone w warstwie 2 (obwody ATM, Frame Relay, transport ramek warstwy 2 z zastosowaniem MPLS - Multi Protocol Label Switching) lub warstwie 3 (sieci BGP/MPLS wg RFC 2547, w których BGP przesyła informacje o trasie VPN wyznaczonej w sieci dostawcy, a MPLS transportuje ruch pomiędzy punktami VPN). Aby nie odczuwać opóźnień w pracy ze zdalnym systemem, dostawca powinien zapewnić odpowiednią jakość usług (QoS) zestawionego połączenia. W sieciach tych klient może utrzymywać swój schemat adresowania IP, a nawet ruting. Sieci VPN są już oferowane niemal przez każdego większego operatora działającego w Polsce (m.in. Dialog, Energis, GTS Polska, Netia, Tel-Energo oraz TP SA).

Dbałość o bezpieczeństwo sieci i transmitowanych danych wymusza stosowanie bezpiecznych sieci VPN. Dane transmitowane na drodze pomiędzy zdalnym użytkownikiem a siecią prywatną są przesyłane w formie zaszyfrowanej, tworząc tzw. tunel. Wymienianych informacji nie można odczytać ani w sposób niezauważony zmienić ich zawartości.

Bezpieczne sieci VPN mogą być tworzone na trzy sposoby: IPSec z kodowaniem, L2TP (Layer 2 Tunneling Protocol) z wykorzystaniem zabezpieczeń IPSec - RFC 3193 oraz SSL/TLS VPN.

IPSec jest obecnie dominującym protokołem w bezpiecznych sieciach VPN, w przeciwieństwie do L2TP. Coraz większą popularność zyskuje SSL VPN.

Bezpieczny VPN zabezpiecza dane, ale nie zapewnia niezmienności zestawionej trasy i parametrów transmisji. Z kolei zaufany VPN gwarantuje zachowanie odpowiednich parametrów transmisji, np. QoS, lecz nie chroni przed podsłuchem i zmianą danych. Najlepszym rozwiązaniem jest stworzenie sieci hybrydowej VPN. Bezpieczeństwo może być zapewnione albo przez użytkowników końcowych sieci VPN (np. z wykorzystaniem oprogramowania szyfrującego), albo przez dostawcę zestawiającego wirtualne połączenie. Wielu producentów w swoich rozwiązaniach sprzętowych umożliwia już tworzenie sieci hybrydowych. Najczęściej scenariusz wdrożenia wygląda tak, że przedsiębiorstwo umożliwia swoim zdalnym użytkownikom zestawienie zaufanej sieci VPN. Gdy mobilny użytkownik ma dostęp do danych, które powinny być chronione, jest zestawiany bezpieczny VPN. Bezpieczny VPN może być podzbiorem zaufanej sieci VPN.

Tworząc bezpieczne sieci VPN, należy pamiętać, że:

• ruch pomiędzy użytkownikami powinien być szyfrowany i uwierzytelniany; część protokołów wykorzystywanych w VPN przeprowadza uwierzytelnienie, ale nie szyfrowanie;

• poziom i mechanizmy bezpieczeństwa powinny być zgodne po dwóch stronach ustanawianego tunelu;

• nikt poza administratorem sieci nie powinien mieć możliwości zmiany parametrów bezpieczeństwa.

Bezpieczeństwo sieci

Dotychczas projektowanie systemu zdalnego dostępu wymuszało kompromis pomiędzy funkcjonalnością a bezpieczeństwem. Każde połączenie ze zdalnym użytkownikiem stanowi potencjalną furtkę dla intruza. Panaceum wydaje się technologia SSL VPN, która jawi się jako bezpieczne, wysoce skalowalne, uniwersalne rozwiązanie zdalnego dostępu. System bezpieczeństwa sieci firmowej powinien być zapewniony przez zastosowanie zapór ogniowych, filtrowania adresów IP i portów, NAT, PAT, systemu antywirusowego, IDS oraz kontroli certyfikatów.

Uwierzytelnianie i kontrola dostępu

IPSec posługuje się dwufazowym mechanizmem wymiany kluczy IKEv1 (Internet Key Exchange). Mogą być nimi certyfikaty cyfrowe X.509, RSA (SecurID) użytkowników i urządzeń, a także tajne klucze (Preshared Secrets), ustalane ręcznie. Mechanizm IKEv1 jest dosyć złożony, dlatego należy się spodziewać wdrożenia jego nowszej i prostszej wersji, zaproponowanej przez IETF - IKEv2. Alternatywną metodą jest uwierzytelnianie XAUTH (Extended Authentication), w której jest wymagana znajomość identyfikatora i hasła. W tym celu mogą być wykorzystane zewnętrzne systemy, np. RADIUS (Remote Access Dial-In User Service), LDAP (Lightweight Directory Access Protocol), TACAS+, MS Active Directory lub Smart Cards. Metoda XAUTH nie jest jednak zalecana, gdyż jest podatna na niektóre rodzaje ataków.

Symantec Gateway Security 5400

Oferuje zintegrowaną zaporę, ochronę antywirusową, funkcje filtrowania treści internetowych, IDS oraz VPN. Urządzenie jest dostępne w trzech modelach, co umożliwia jego zastosowanie w sieciach o wielkości od 500 do 1500 węzłów. W zależności od wersji (5420, 5440, 5460) oferuje szyfrowanie VPN (3DES) odpowiednio: 90, 400, 600 Mb/s oraz VPN (AES) - 30, 80, 90 Mb/s. Ruch jest monitorowany na poziomie sieci, jak również na poziomie aplikacji - przez wspólny dla wszystkich funkcji graficzny interfejs zarządzania.