Archiwum

A A A

Droga prywatna - wstęp wzbroniony!

Tomasz Skiepko, Cezary Niewiarowski

W tym artykule:

(Strona 2 z 4)

Dane w tunelu

Tunelowanie

Tunelowanie to proces składający się z trzech czynności: kapsułkowania, przesyłania danych oraz dekapsułkowania. Zadaniem tunelowania jest ochrona przesyłanych informacji za pomocą wytworzenia odpowiedniej "osłony" danych transmitowanych przez sieci, które nie zapewniają wymaganego poziomu bezpieczeństwa. Pierwsza czynność - enkapsulacja polega na zamykaniu oryginalnego pakietu danych w kapsułkę zawierającą wszystkie niezbędne informacje dotyczące routingu, umożliwiające pakietowi tranzyt przez sieci publiczne bez gubienia lub odkrywania informacji przeznaczonej dla użytkownika końcowego i przechowywanej w nagłówku oryginalnego pakietu. Tranzyt może odbywać się przez sieci publiczne takie jak intranet i Internet. Pakiet danych, który został umieszczony w kapsułce, dociera do miejsca przeznaczenia, tam w procesie dekapsulacji zostaje zdjęta wierzchnia warstwa i pakiet powraca do swojego pierwotnego kształtu. Tunelowanie jest obsługiwane przez różne protokoły, takie jak PPTP, L2TP czy IPSec. W zależności od rodzaju zastosowanego protokołu transfer odbywa się inaczej.

Największą zaletą VPN jest możliwość uzyskania bezpiecznego połączenia z dowolnego miejsca, wystarczy ustanowić połączenie z lokalnym dostawcą usług internetowych (np. z numerem dostępowym TP SA - 022122) lub skorzystać z własnego łącza stałego albo z telefonu komórkowego. Dzięki globalnemu zasięgowi Sieci użytkownik oddalony od firmy o setki kilometrów może pracować na swoim komputerze, tak jakby był połączony bezpośrednio z wewnętrzną siecią, i mieć dostęp do zasobów korporacyjnych. Podobnie mogą się komunikować z centralą firmy biura regionalne, oddziały i filie. Rodzaj i infrastruktura wykorzystywanej do przesyłania danych sieci publicznej nie mają znaczenia.

Dane wędrują przez sieć, tak jakby przesyłane były linią prywatną. Najczęściej połączenie pozwala klientowi VPN na uzyskanie dostępu do zasobów serwera lub całej sieci lokalnej. Możliwe jest też połączenie między dwoma routerami, co pozwala łączyć obie lokalne sieci.

Tunelowanie. Tunelowanie w Internecie. Za szyfrowanie danych tak, by były niedostępne dla osób postronnych, odpowiedzialne są protokoły sieciowe. Dane przesyłane przez sieci są podzielone na części i opatrzone etykietkami, które zawierają informacje: z jakiego ciągu pochodzą, dokąd są adresowane i jaka jest ich kolejność. W ten sposób powstają pakiety przyjmujące nazwy protokołu sieciowego, którym są przesyłane (IP, IPX lub NetBEUI). Aby umożliwić przesłanie, pakiety otrzymują specjalne ramki w celu zabezpieczenia przed rozsypaniem podczas przenoszenia przez tunel. Ze względu na różnorodność rodzajów sieci i protokołów, aby móc przesyłać pakiety w oryginalnej postaci, należy je obudować, czyli enkapsulować. Enkapsulacja następuje w protokole tunelującym, tworząc swoiste kapsułki danych, które mogą się poruszać w Internecie lub innych sieciach pośredniczących bez utraty etykietek. Kapsułkowanie to czynność, która powoduje, że do oryginalnego pakietu dopisywane są nagłówki przeznaczone wyłącznie do transferu poprzez tunel.

Tunelowanie składa się z trzech procesów:

enkapsulacji, czyli zapakowania pakietów do uniwersalnej kapsułki;

transmisji, czyli transferu do miejsca docelowego;

dekapsulacji, czyli wyjęcia z kapsułek i usunięcia dodatkowych informacji zawartych w nagłówku.

Szyfrowanie szyfrów

Aby połączenie VPN było bezpieczne, muszą zostać spełnione podstawowe wymagania. Przede wszystkim musi zostać zagwarantowana autoryzacja użytkownika, która zapewni, że z połączenia VPN skorzystają wyłącznie osoby uprawnione, mające własny identyfikator i hasło. Serwer VPN dokonuje autoryzacji oraz weryfikuje uprawnienia klienta. Przy wzajemnym potwierdzaniu autentyczności również klient dokonuje weryfikacji serwera w celu zabezpieczenia się przed tzw. przesłanianiem, czyli możliwością emulacji serwera firmy przez hakerów. W przypadku danych autoryzacja zapewnia, że przesłane dane nie zostaną zmodyfikowane podczas transferu. Drugim kryterium, które musi zostać spełnione, aby można było mówić o wirtualnej sieci prywatnej, jest szyfrowanie danych. Pozwala ono zapewnić poufność danych podczas przesyłania ich w sieciach publicznych i opiera się na znajomości przez nadawcę i odbiorcę klucza szyfrującego.

Dane przechwycone przez intruza są niezrozumiałe bez znajomości klucza szyfrującego, a mechanizmy zarządzania kluczami dodatkowo dbają o częstą wymianę używanych przez serwer i klienta kodów. Najważniejszym czynnikiem wpływającym na stopień bezpieczeństwa transmisji VPN jest długość klucza. Drugim czynnikiem wpływającym na skuteczność szyfrowania jest ilość przesyłanych danych. Im więcej danych jest przesyłanych za pomocą jednego klucza, tym łatwiej go złamać. Dlatego podczas połączenia następuje częsta zmiana i odświeżanie kluczy w trakcie transmisji.

Protokoły bezpieczeństwa

W celu utworzenia bezpiecznego tunelu, należy zadbać, aby serwer i klient obsługiwali ten sam protokół tunelujący. Najpopularniejsze obecnie protokoły to PPTP (Point-to-Point Tunneling Protocol) oraz L2TP (Layer Two Tunneling Protocol). Pierwszy kapsułkuje ramki protokołu PPP (Point-to-Point Protocol), który został zaprojektowany w celu przesyłania danych za pośrednictwem połączeń modemowych lub typu punkt-punkt. Transmisja odbywa się przez sieci IP.

Rodzaje protokołów tunelujących

Producenci rozwiązań dla VPN ustanowili trzy kategorie odpowiadające kolejnym warstwom siedmiowarstwowego modelu OSI (Open System Interconnection - opracowany przez organizację standaryzacyjną ISO), które mają ujednolicić protokoły tunelujące. Systemy VPN warstwy drugiej zawierają produkty oparte na protokołach PPTP (Point-to-Point Tunneling Protocol) i L2TP (Layer 2 Tunneling Protocol), które w tej chwili zdobyły największą popularność i są stosowane w większości połączeń wirtualnych sieci prywatnych. VPN warstwy trzeciej opierają się natomiast na protokole IPS-ec oraz modelu IP-over-IP. Narzędzia VPN warstwy czwartej wykorzystują również kapsułkowanie i szyfrowanie, ale produkty związane z tą warstwą odnoszą się często do pojedynczej aplikacji, np. poczty elektronicznej.

PPTP (Point-to-Point Tunneling Protocol) - wspólne dzieło Microsoftu i US Robotics, został zaprojektowany do łączenia VPN. PPTP jest rozszerzeniem PPP (Point-to-Point Protocol), standardowego protokołu komunikacyjnego Internetu, gwarantującego niezawodność asynchronicznej transmisji łączem szeregowym punkt-punkt bez ograniczania przepływności. Jest on szeroko stosowany do łączenia i przesyłania informacji zarówno w publicznym Internecie, jak i prywatnej sieci korporacyjnej. Ponieważ PPP funkcjonuje w warstwie drugiej, to połączenie PPTP, umożliwiające kapsułkowanie pakietów PPP, pozwala użytkownikom wysyłać nie tylko pakiety IP, ale także IPX i NetBEUI (NetBIOS Extended User Interface). Typowym klientem PPTP jest komputer z zainstalowanym systemem operacyjnym Microsoftu. W Windows zdefiniowanym protokołem szyfrującym jest MPPE (Microsoft Point to Point Encryption). Jest oparty na standardowym systemie kryptograficznym RSA (Rivest, Shamir, Adleman), który obsługuje 40-bitowe lub 128-bitowe szyfrowanie. Chociaż poziom bezpieczeństwa zapewniany przez ten protokół jest wystarczający dla wielu aplikacji, to najczęściej jest postrzegany jako mniej bezpieczny od niektórych algorytmów szyfrowania oferowanych przez IPS, a w szczególności od 168-bitowego Triple DES (Data Encryption Standard).

L2TP (Layer 2 Tunneling Protocol) - protokół, który powstał z inicjatywy organizacji zajmującej się standaryzacją w Internecie IETF (Internet Engineering Task Force) przez połączenie opisanego wyżej PPTP oraz L2F (Layer 2 Forwarding), utworzonego przez firmę Cisco. Narzędzie L2F zaprojektowane przez Cisco Systems jest przeznaczone głównie do obsługi transmisji między routerami. Protokół L2TP, jak wszystkie rozwiązania warstwy drugiej, pozwala na transport ramek PPP (Point-to-Point Protocol). Obsługuje jednak nie tylko sieci IP, lecz również X.25, Frame Relay oraz ATM (Asynchronous Transfer Mode).

IPSec (Internet Protocol Security) - bezpieczna odmiana protokołu IP, mogąca zapewnić znaczny stopień bezpieczeństwa pracy zarówno sieci rozległych, jak i lokalnych.

W przeciwieństwie do protokołów warstwy drugiej, gdzie wymiana danych odbywa się w ramkach, protokół IPS obsługuje, jak sama nazwa wskazuje, tylko pakiety IP.

Szyfruje i kompresuje oryginalne pakiety IP i dopisuje do nich jeszcze jeden, jawny nagłówek IP. Powoduje to, że wszelkie parametry konfiguracyjne oraz proces uwierzytelniania są przeprowadzane przez wyższe warstwy i nie występują problemy zarządzania parametrami tunelu, autoryzacji użytkowników oraz przypisywania adresów. Głównym inicjatorem powstania tego standardu jest firma Cisco, która oferuje w swoich rozwiązaniach sprzętowych, takich jak routery i firewalle, obsługę tego standardu. IPSec był projektowany do bezpiecznego tworzenia tuneli przez Internet między ochranianymi sieciami lokalnymi. IPSec obsługuje 168-bitowe szyfrowanie Triple DES, a także umożliwia szyfrowanie pakiet po pakiecie i uwierzytelnienie oraz zapobiega atakom od środka, kiedy dane mogłyby zostać przechwytywane przez osobę trzecią, rekonstruowane i przesyłane na zewnątrz.

« wstecz 123 4 dalej »

Spis treści: Grudzień 2001

Wystaw ocenę:

Średnia ocena:

(Głosów: )

» Dodaj komentarz

Komentarze

Redakcja PC World nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.