PC World
wtorek 16 marca 2010

Archiwum

Wersja do wydruku Powiadom znajomego Podyskutuj na forum Odsłuchaj materiał RSS Wrzuć w Gwar Wykop to Dodaj do delicji Dodaj do Twittera! Dodaj do Blip! Dodaj do Flakera! Dodaj do Digg! Udostępnij na Facebooku! Dodaj do Śledzika! A A A

Droga prywatna - wstęp wzbroniony!

Tomasz Skiepko, Cezary Niewiarowski

W tym artykule:

Wirtualne sieci prywatne zapewniają szyfrowany transfer danych przesyłanych przez Internet. Rozwiązanie to umożliwia budowę bezpiecznej formy komunikacji zarówno w obrębie przedsiębiorstwa, jak i dla celów prywatnych.

Rozwój usług telekomunikacyjnych ułatwił przepływ danych w ramach całego przedsiębiorstwa, nawet w przypadku gdy jego oddziały znajdują się w oddalonych miejscach, czasami nawet w kilku państwach. Tworzenie rozległych sieci korporacyjnych jest możliwe na kilka sposobów z wykorzystaniem tradycyjnych połączeń (dial-up), z wykorzystaniem infrastruktury sieciowej firm trzecich (dzierżawa łączy) lub też samodzielnej budowy szkieletu rozległej sieci korporacyjnej.

Pierwsze rozwiązanie wydaje się atrakcyjne, ale tylko kiedy korzystasz z połączeń lokalnych. Pozostałe warianty, mimo że oferują większą szybkość i niezawodność, okazują się dla małych i średnich przedsiębiorstw często zbyt drogie. Tylko nieliczne firmy i instytucje mogą sobie pozwolić na ponoszenie kosztów połączeń, zakup niezbędnego, specjalistycznego sprzętu i oprogramowania (routery, firewalle). Wraz z rozwojem infrastruktury sieciowej pojawiła się koncepcja tworzenia sieci prywatnych (VPN - Virtual Private Networking), łączących np. oddziały firm poprzez sieci publiczne np. Internet. W upowszechnieniu tego typu rozwiązania pomogło także utworzenie protokołów przeznaczonych do zabezpieczania połączeń VPN, utworzenie programowych elementów sieci prywatnej oraz decyzja amerykańskiego rządu, który zezwolił dostawcom sprzętu na eksport technologii szyfrowania i narzędzi szyfrujących 3DES, które do tej pory były objęte embargiem.

Prywatna sieć w Sieci

Kliknij, aby powiększyćKoncepcja wirtualnych sieci prywatnych VPN (Solstice Security Software) VPN to rozszerzenie sieci prywatnej (wewnętrznej sieci LAN), które stanowi sieć dwukierunkowych kanałów służących transmisji danych przez sieci publiczne (takie jak Internet) z zachowaniem bezpieczeństwa przesyłanych danych. Wirtualne sieci prywatne umożliwiają transfer danych pomiędzy dwoma komputerami w sposób, który emuluje prywatne połączenie typu punkt-punkt. Podczas tego połączenia dane są szyfrowane, dzięki czemu nawet po ich przechwyceniu przez osobę niepowołaną są one praktycznie nie do odczytania, gdyż proces deszyfrowania wymaga użycia odpowiedniego klucza. Można powiedzieć, że VPN tworzy w ogólnodostępnej Sieci publicznej wydzielone "tunele", które dzięki zastosowaniu odpowiednich mechanizmów uniemożliwiają włamanie się lub przechwycenie transmisji. Najważniejszymi z zabezpieczeń są: sprawdzanie tożsamości zdalnego użytkownika poprzez uwierzytelnianie kryptograficzne, szyfrowanie informacji oraz enkapsulacja w pakietach IP.

Stosowanie wirtualnych sieci prywatnych zapewnia bezpieczne połączenie pomiędzy dwoma segmentami sieci (np. siecią w biurze firmy i bramką innej sieci). Koszty wykorzystania dostępnej publicznie sieci do transferu danych są zazwyczaj niższe niż w przypadku bezpośredniego łączenia się np. z biurem firmy. Pracownicy przebywający z dala od takiego biura mogą za pomocą wirtualnych sieci prywatnych bez problemu przekazywać informacje. Oczywiście do transferu danych można używać Internetu, jednak w przypadku przesyłania poufnych wiadomości pierwszoplanową kwestią stają się sprawy bezpieczeństwa.

Istotną zaletą wynikającą ze stosowania rozwiązań VPN jest to, że dzięki wykorzystywaniu bezpiecznych metod transmisji wspierają handel internetowy, jak również łączą ze sobą przedsiębiorstwa i przedsiębiorstwa z dostawcami. Dodatkowo VPN pociąga klientów jeszcze z innych powodów - jako sposób na łączenie ze sobą filii przedsiębiorstwa i formę dostępu do zasobów sieciowych (intranetu) oraz wewnętrznych firmowych baz danych.

Oprócz zastosowań przeznaczonych dla dużych firm i międzynarodowych korporacji coraz częściej usługi VPN oferowane są przez dostawców usług internetowych i operatorów telekomunikacyjnych małym firmom typu SOHO (Small Office Home Office), które też decydują się na bezpieczne, szyfrowane połączenie z Internetem. W tej chwili teoretycznie możliwe jest zestawianie połączeń typu VPN przez użytkowników indywidualnych za pośrednictwem wyspecjalizowanych dostawców oferujących tego typu usługi. Jednak koszt tych rozwiązań na świecie jest jeszcze bardzo wysoki, natomiast w Polsce praktycznie nie ma tego typu ofert.

Wirtualne sieci prywatne można tworzyć na podstawie różnorodnych kombinacji elementów sprzętowych i programowych. Sieci VPN mogą wykorzystywać istniejące urządzenia, np. firewalle oddzielające transfer danych w sieci lokalnej od Internetu albo odpowiednie routery. Taki sprzęt zapewnia zwykle funkcje niezbędne do działania wirtualnych sieci prywatnych: uwierzytelnianie, filtrowanie, enkapsulację, szyfrowanie. Oprogramowanie do tworzenia wirtualnych sieci prywatnych może wchodzić bezpośrednio w skład systemu operacyjnego, może być też dokupione jako oddzielny produkt. W przypadku rozwiązań opartych głównie na oprogramowaniu stosuje się czasem sprzętowe akceleratory przyspieszające proces szyfrowania, wymagający odpowiedniej mocy obliczeniowej.

Chociaż w ofercie wielu firm (np. Intela lub Cisco) znaleźć można szeroką gamę urządzeń do budowy VPN, to jednak koszt ich zakupu może osiągnąć kilkanaście tysięcy dolarów, co jest kwotą wysoką w stosunku do alternatywnych rozwiązań programowych dostępnych w większości systemów operacyjnych. Dzięki specjalnie zaprojektowanym protokołom (takim jak PPTP, L2TP oraz IPSec) można tworzyć sieci VPN na podstawie systemów takich jak Windows, Linux czy innych platform uniksowych. Korzystając z któregoś z tych systemów, nie musisz ponosić dodatkowych kosztów związanych z instalacją i konfiguracją sieci VPN. W przypadku Linuksa możesz skorzystać z pakietu Free S/WAN lub PoPToP, a na innych systemach uniksowych skonfigurować odpowiednio protokół IPSec. Z kolei w Windows zaimplementowano protokół PPTP oraz IPSec.

W skład połączenia VPN wchodzą następujące komponenty:
  • serwer VPN - komputer, który akceptuje połączenia od klientów VPN. Serwer ten może obsługiwać połączenia zdalnego dostępu lub połączenia VPN pomiędzy routerami.
  • klient VPN - komputer lub router, który inicjuje połączenie VPN z serwerem. Połączenia typu router-router mogą tworzyć komputery z zainstalowanym systemem Windows 2000 Server lub NT Server 4.0, ale wtedy konieczne jest zainstalowanie usługi RRAS (Routing and Remote Access Service), która jest domyślnie dostępna i wykorzystywana w Windows 2000. Klientami VPN są dowolne komputery obsługujące protokoły szyfrujące PPTP, L2TP lub IPSec.
  • tunelowanie - proces enkapsulacji, czyli kapsułkowania pakietów w specjalne ramki, które umożliwiają transport tunelem. Pakiety, które mają ramki nadane przez inne protokoły sieciowe nie mogłyby być przesyłane w innego rodzaju sieciach, gdyż nagłówki zawierają inne informacje. Dlatego cały pakiet jest wkładany do specjalnej kapsułki, przesyłany przez tunel, a następnie rozpakowywany.
  • połączenie VPN - jest to połączenie, które emuluje transmisję punkt-punkt z szyfrowaniem przesyłanych danych. Istnieją dwa rodzaje połączeń: router-router oraz zdalne połączenie komputera-klienta z serwerem firmy lub dostawcą usług internetowych.
Zasada działania wirtualnej sieci prywatnej polega na utworzeniu wirtualnego kanału komunikacyjnego wewnątrz sieci, którą przesyłane są zaszyfrowane dane. Transmisja kanałem komunikacyjnym jest obsługiwana przez protokół tunelujący (tunneling protocol). Zasada działania wirtualnego kanału polega na zestawieniu logicznego połączenia między komputerem użytkownika i serwerem, który pozwala na bezpieczną pracę w taki sposób, jakby istniało bezpośrednie połączenie z siecią prywatną.

Podczas inicjacji wirtualnej sieci prywatnej oprogramowanie po "naszej" stronie komunikuje się z bramką VPN, np. routerem w biurze firmy. Kiedy "druga strona" pozytywnie zweryfikuje uprawnienia, oprogramowanie zestawi odpowiednie połączenie. Pakiety przesyłane przez tunel będą opatrywane odpowiednimi nagłówkami, tak by można było je przesłać siecią publiczną, taką jak Internet. Kiedy pakiety dotrą już do bramki stojącej po "drugiej stronie" tunelu, nagłówek pakietu zostanie usunięty, a informacje będą ostatecznie przekazane do właściwego odbiorcy w sieci lokalnej.

Dane w tunelu

Tunelowanie
Tunelowanie to proces składający się z trzech czynności: kapsułkowania, przesyłania danych oraz dekapsułkowania. Zadaniem tunelowania jest ochrona przesyłanych informacji za pomocą wytworzenia odpowiedniej "osłony" danych transmitowanych przez sieci, które nie zapewniają wymaganego poziomu bezpieczeństwa. Pierwsza czynność - enkapsulacja polega na zamykaniu oryginalnego pakietu danych w kapsułkę zawierającą wszystkie niezbędne informacje dotyczące routingu, umożliwiające pakietowi tranzyt przez sieci publiczne bez gubienia lub odkrywania informacji przeznaczonej dla użytkownika końcowego i przechowywanej w nagłówku oryginalnego pakietu. Tranzyt może odbywać się przez sieci publiczne takie jak intranet i Internet. Pakiet danych, który został umieszczony w kapsułce, dociera do miejsca przeznaczenia, tam w procesie dekapsulacji zostaje zdjęta wierzchnia warstwa i pakiet powraca do swojego pierwotnego kształtu. Tunelowanie jest obsługiwane przez różne protokoły, takie jak PPTP, L2TP czy IPSec. W zależności od rodzaju zastosowanego protokołu transfer odbywa się inaczej.
Największą zaletą VPN jest możliwość uzyskania bezpiecznego połączenia z dowolnego miejsca, wystarczy ustanowić połączenie z lokalnym dostawcą usług internetowych (np. z numerem dostępowym TP SA - 022122) lub skorzystać z własnego łącza stałego albo z telefonu komórkowego. Dzięki globalnemu zasięgowi Sieci użytkownik oddalony od firmy o setki kilometrów może pracować na swoim komputerze, tak jakby był połączony bezpośrednio z wewnętrzną siecią, i mieć dostęp do zasobów korporacyjnych. Podobnie mogą się komunikować z centralą firmy biura regionalne, oddziały i filie. Rodzaj i infrastruktura wykorzystywanej do przesyłania danych sieci publicznej nie mają znaczenia.

Dane wędrują przez sieć, tak jakby przesyłane były linią prywatną. Najczęściej połączenie pozwala klientowi VPN na uzyskanie dostępu do zasobów serwera lub całej sieci lokalnej. Możliwe jest też połączenie między dwoma routerami, co pozwala łączyć obie lokalne sieci.

Kliknij, aby powiększyćTunelowanie. Tunelowanie w Internecie. Za szyfrowanie danych tak, by były niedostępne dla osób postronnych, odpowiedzialne są protokoły sieciowe. Dane przesyłane przez sieci są podzielone na części i opatrzone etykietkami, które zawierają informacje: z jakiego ciągu pochodzą, dokąd są adresowane i jaka jest ich kolejność. W ten sposób powstają pakiety przyjmujące nazwy protokołu sieciowego, którym są przesyłane (IP, IPX lub NetBEUI). Aby umożliwić przesłanie, pakiety otrzymują specjalne ramki w celu zabezpieczenia przed rozsypaniem podczas przenoszenia przez tunel. Ze względu na różnorodność rodzajów sieci i protokołów, aby móc przesyłać pakiety w oryginalnej postaci, należy je obudować, czyli enkapsulować. Enkapsulacja następuje w protokole tunelującym, tworząc swoiste kapsułki danych, które mogą się poruszać w Internecie lub innych sieciach pośredniczących bez utraty etykietek. Kapsułkowanie to czynność, która powoduje, że do oryginalnego pakietu dopisywane są nagłówki przeznaczone wyłącznie do transferu poprzez tunel.

Tunelowanie składa się z trzech procesów:
  • enkapsulacji, czyli zapakowania pakietów do uniwersalnej kapsułki;
  • transmisji, czyli transferu do miejsca docelowego;
  • dekapsulacji, czyli wyjęcia z kapsułek i usunięcia dodatkowych informacji zawartych w nagłówku.

    Szyfrowanie szyfrów

    Aby połączenie VPN było bezpieczne, muszą zostać spełnione podstawowe wymagania. Przede wszystkim musi zostać zagwarantowana autoryzacja użytkownika, która zapewni, że z połączenia VPN skorzystają wyłącznie osoby uprawnione, mające własny identyfikator i hasło. Serwer VPN dokonuje autoryzacji oraz weryfikuje uprawnienia klienta. Przy wzajemnym potwierdzaniu autentyczności również klient dokonuje weryfikacji serwera w celu zabezpieczenia się przed tzw. przesłanianiem, czyli możliwością emulacji serwera firmy przez hakerów. W przypadku danych autoryzacja zapewnia, że przesłane dane nie zostaną zmodyfikowane podczas transferu. Drugim kryterium, które musi zostać spełnione, aby można było mówić o wirtualnej sieci prywatnej, jest szyfrowanie danych. Pozwala ono zapewnić poufność danych podczas przesyłania ich w sieciach publicznych i opiera się na znajomości przez nadawcę i odbiorcę klucza szyfrującego.

    Dane przechwycone przez intruza są niezrozumiałe bez znajomości klucza szyfrującego, a mechanizmy zarządzania kluczami dodatkowo dbają o częstą wymianę używanych przez serwer i klienta kodów. Najważniejszym czynnikiem wpływającym na stopień bezpieczeństwa transmisji VPN jest długość klucza. Drugim czynnikiem wpływającym na skuteczność szyfrowania jest ilość przesyłanych danych. Im więcej danych jest przesyłanych za pomocą jednego klucza, tym łatwiej go złamać. Dlatego podczas połączenia następuje częsta zmiana i odświeżanie kluczy w trakcie transmisji.

    Protokoły bezpieczeństwa

    W celu utworzenia bezpiecznego tunelu, należy zadbać, aby serwer i klient obsługiwali ten sam protokół tunelujący. Najpopularniejsze obecnie protokoły to PPTP (Point-to-Point Tunneling Protocol) oraz L2TP (Layer Two Tunneling Protocol). Pierwszy kapsułkuje ramki protokołu PPP (Point-to-Point Protocol), który został zaprojektowany w celu przesyłania danych za pośrednictwem połączeń modemowych lub typu punkt-punkt. Transmisja odbywa się przez sieci IP.
    Rodzaje protokołów tunelujących
    Producenci rozwiązań dla VPN ustanowili trzy kategorie odpowiadające kolejnym warstwom siedmiowarstwowego modelu OSI (Open System Interconnection - opracowany przez organizację standaryzacyjną ISO), które mają ujednolicić protokoły tunelujące. Systemy VPN warstwy drugiej zawierają produkty oparte na protokołach PPTP (Point-to-Point Tunneling Protocol) i L2TP (Layer 2 Tunneling Protocol), które w tej chwili zdobyły największą popularność i są stosowane w większości połączeń wirtualnych sieci prywatnych. VPN warstwy trzeciej opierają się natomiast na protokole IPS-ec oraz modelu IP-over-IP. Narzędzia VPN warstwy czwartej wykorzystują również kapsułkowanie i szyfrowanie, ale produkty związane z tą warstwą odnoszą się często do pojedynczej aplikacji, np. poczty elektronicznej.

    PPTP (Point-to-Point Tunneling Protocol) - wspólne dzieło Microsoftu i US Robotics, został zaprojektowany do łączenia VPN. PPTP jest rozszerzeniem PPP (Point-to-Point Protocol), standardowego protokołu komunikacyjnego Internetu, gwarantującego niezawodność asynchronicznej transmisji łączem szeregowym punkt-punkt bez ograniczania przepływności. Jest on szeroko stosowany do łączenia i przesyłania informacji zarówno w publicznym Internecie, jak i prywatnej sieci korporacyjnej. Ponieważ PPP funkcjonuje w warstwie drugiej, to połączenie PPTP, umożliwiające kapsułkowanie pakietów PPP, pozwala użytkownikom wysyłać nie tylko pakiety IP, ale także IPX i NetBEUI (NetBIOS Extended User Interface). Typowym klientem PPTP jest komputer z zainstalowanym systemem operacyjnym Microsoftu. W Windows zdefiniowanym protokołem szyfrującym jest MPPE (Microsoft Point to Point Encryption). Jest oparty na standardowym systemie kryptograficznym RSA (Rivest, Shamir, Adleman), który obsługuje 40-bitowe lub 128-bitowe szyfrowanie. Chociaż poziom bezpieczeństwa zapewniany przez ten protokół jest wystarczający dla wielu aplikacji, to najczęściej jest postrzegany jako mniej bezpieczny od niektórych algorytmów szyfrowania oferowanych przez IPS, a w szczególności od 168-bitowego Triple DES (Data Encryption Standard).

    L2TP (Layer 2 Tunneling Protocol) - protokół, który powstał z inicjatywy organizacji zajmującej się standaryzacją w Internecie IETF (Internet Engineering Task Force) przez połączenie opisanego wyżej PPTP oraz L2F (Layer 2 Forwarding), utworzonego przez firmę Cisco. Narzędzie L2F zaprojektowane przez Cisco Systems jest przeznaczone głównie do obsługi transmisji między routerami. Protokół L2TP, jak wszystkie rozwiązania warstwy drugiej, pozwala na transport ramek PPP (Point-to-Point Protocol). Obsługuje jednak nie tylko sieci IP, lecz również X.25, Frame Relay oraz ATM (Asynchronous Transfer Mode).

    IPSec (Internet Protocol Security) - bezpieczna odmiana protokołu IP, mogąca zapewnić znaczny stopień bezpieczeństwa pracy zarówno sieci rozległych, jak i lokalnych.

    W przeciwieństwie do protokołów warstwy drugiej, gdzie wymiana danych odbywa się w ramkach, protokół IPS obsługuje, jak sama nazwa wskazuje, tylko pakiety IP.

    Szyfruje i kompresuje oryginalne pakiety IP i dopisuje do nich jeszcze jeden, jawny nagłówek IP. Powoduje to, że wszelkie parametry konfiguracyjne oraz proces uwierzytelniania są przeprowadzane przez wyższe warstwy i nie występują problemy zarządzania parametrami tunelu, autoryzacji użytkowników oraz przypisywania adresów. Głównym inicjatorem powstania tego standardu jest firma Cisco, która oferuje w swoich rozwiązaniach sprzętowych, takich jak routery i firewalle, obsługę tego standardu. IPSec był projektowany do bezpiecznego tworzenia tuneli przez Internet między ochranianymi sieciami lokalnymi. IPSec obsługuje 168-bitowe szyfrowanie Triple DES, a także umożliwia szyfrowanie pakiet po pakiecie i uwierzytelnienie oraz zapobiega atakom od środka, kiedy dane mogłyby zostać przechwytywane przez osobę trzecią, rekonstruowane i przesyłane na zewnątrz.

    Natomiast protokół L2TP jest połączeniem protokołów PPTP oraz L2F (Layer 2 Forwarding - zaprojektowany przez firmę Cisco). L2TP jest wstępną specyfikacją organizacji IETF (Internet Engineering Task Force) umożliwiającą kapsułkowanie i transmisję ruchu wykorzystującego inny protokół niż IP w sieciach TCP/IP. Protokół L2TP korzysta z IPSec w celu dokonywania szyfrowanej transmisji, dlatego też wymaga infrastruktury klucza publicznego do pracy w sieciach typu VPN. Pomimo wielu podobieństw między oboma standardami dostrzegalne są także różnice. Przede wszystkim protokół L2TP nie wymaga do utworzenia tunelu sieci IP. W efekcie może używać łączy IP, stałych łączy wirtualnych Frame Relay, łączy wirtualnych X.25 oraz ATM. PPTP może obsługiwać tylko jeden tunel pomiędzy punktami końcowymi, natomiast L2TP wiele tuneli, co pozwala na tworzenie różnych tuneli dla wielu typu usług.

    L2TP umożliwia kompresję nagłówka, dzięki temu może operować na 4 bajtach organizacyjnych - PPTP na 6 bajtach. L2TP pozwala na potwierdzenie autentyczności. Do szyfrowania PPTP używa technologii MPPE, która korzysta z algorytmu RSA, co umożliwia stosowanie zarówno 40- jak i 128-bitowych kluczy szyfrujących. Szyfrowanie za pomocą L2TP oparte jest na protokole IPSec, co umożliwia zastosowanie algorytmów szyfrowania DES (Data Encryption Standard) o długości klucza 40- i 56-bitowej oraz 3DES (triple DES), który używa kluczy 168-bitowych.

    Wewnątrz czy na zewnątrz?

    Kliknij, aby powiększyćRoutery Cisco 1600 należą do urządzeń, pozwalających na korzystanie z wirtualnych sieci prywatnych. Jest to jeden z modeli zapewniających zestawienie VPN przy użyciu elementów programowych (oprogramowania Cisco IOS). Praktycznie we wszystkich firmach dostęp do Internetu zapewniony jest za pośrednictwem specjalnego serwera lub routera pełniącego funkcję tzw. firewalla. Zadaniem firewalla jest filtrowanie pakietów i pilnowanie dostępu do lokalnych zasobów. Filtrowanie pakietów pozwala na precyzyjne określenie, które usługi sieciowe mogą być dostarczane z zewnątrz, i odgrywa kluczową rolę w bezpieczeństwie sieci wewnętrznej. Serwer VPN może zostać umieszczony na dwa sposoby. Może znajdować się przed firewallem i mieć bezpośrednie połączenie z Internetem lub między siecią lokalną a "ścianą ognia". Jeżeli zdecydujesz się na uruchomienie serwera VPN przed firewallem, to należy skonfigurować odpowiednio filtrowanie pakietów, tak aby przepuszczane były tylko pakiety z i do kanału VPN.

    Po odszyfrowaniu pakietów serwer VPN przekaże je do firewalla, który pozwoli na ich transport do wewnętrznej sieci. Ponieważ ruch z serwera VPN jest generowany tylko przez uwierzytelnionych klientów, filtrowanie na firewallu może być zastosowane do blokowania użytkownikom dostępu do niektórych, specjalnych zasobów wewnętrznych. Z drugiej strony, ponieważ dowolny ruch z Internetu musi przejść przez serwer VPN, można w ten sposób ograniczyć dostęp do intranetowych usług FTP lub WWW tylko do użytkowników VPN.

    Kliknij, aby powiększyćRouter Cisco 2600 spełnia większe wymagania w zakresie szyfrowania informacji a także tunelowania, wyposażony jest w procesor RISC. Został zaprojektowany z myślą o potrzebach biur średniej wielkości. Znacznie popularniejszą konfiguracją jest umieszczenie serwera VPN za firewallem. Przy takim rozwiązaniu omówione wcześniej filtry muszą być skonfigurowane dla zewnętrznego interfejsu firewalla. Dodatkowe filtry mogą zezwalać na dostęp do serwerów WWW, FTP lub innych. Ponieważ oprogramowanie firewalla nie używa algorytmów szyfrujących, ani nie zna wykorzystanych przez VPN kluczy, może jedynie filtrować i przetwarzać zewnętrzne nagłówki tunelowanych pakietów. Oznacza to, że w rzeczywistości wirtualny tunel przebiega również przez firewall. Nie osłabia to jednak bezpieczeństwa, gdyż połączenie VPN wymaga autoryzacji.

    Technologia VPN ze względu na niebagatelne zalety w zakresie bezpieczeństwa będzie się rozwijać. Jak głosi raport firmy badawczej Infonetics, do końca roku 2001 ponad 90 procent extranetów (jest to wewnętrzna sieć komputerowa pracująca na podstawie rozwiązań i protokołów wykorzystywanych w Internecie) w Europie będzie działało na zasadzie połączeń wirtualnych sieci prywatnych (VPN). Extranety spotyka się najczęściej w zastosowaniach biznesowych, gdzie traktowane są jako rozszerzenie intranetu, służąc wymianie informacji z partnerami, klientami, dostawcami. Już teraz dostępne są rozwiązania wykorzystujące pomysł rozszerzonych sieci prywatnych, w których oprócz danych szyfrowany jest również głos.

    Sieci VPN dzięki odgrodzeniu od publicznej strefy Internetu zapewniają bezpieczeństwo, uniemożliwiając przechwycenie danych przez niepowołane osoby. Dzięki upowszechnieniu się rozwiązań programistycznych służących do budowy sieci VPN, które dostępne są w najpopularniejszych systemach operacyjnych takich jak Windows, Linux lub UNIX, nie tylko duże i bogate firmy mogą korzystać z VPN. Wirtualne sieci prywatne stają się popularne wśród małych firm, a także użytkowników indywidualnych, którzy wykazują coraz większe zainteresowanie ochroną własnych danych. Miejmy nadzieję, że w niedalekiej przyszłości wiedza o zabezpieczaniu danych upowszechni się na tyle, że w przedsiębiorstwach masowo wykorzystywane będą metody kryptograficzne z wykorzystaniem VPN, a propozycja firm oferujących dostęp do Internetu użytkownikom indywidualnym wzbogaci się o usługę wirtualnych sieci prywatnych. Dzięki rozwojowi VPN oraz stosowaniu metod kodowania danych za pomocą klucza publicznego i prywatnego, Internet ma szansę stać się medium na tyle bezpiecznym, że jedynym problemem w jego rozwoju stanie się infrastruktura.

    Rozszerzone VPN - szyfrowanie głosu

    Kliknij, aby powiększyćModel Cisco 3600 to optymalizowane na potrzeby VPN urządzenie. Modularna budowa i obsługa różnego typu interfejsów stanowią ważne zalety tego sprzętu. Podobnie jak w przypadku routera oznaczonego symbolem 2600, tak i w tym urządzeniu procesor RISC zapewnia odpowiednią moc pozwalającą na wydajne wykorzystanie możliwości jakie daje Cisco IOS. Rozwój technik telekomunikacyjnych doprowadził do znacznego rozszerzenia standardowego przesyłania danych o dodatkowe usługi. Doprowadziło to do powstania oprogramowania rozszerzonych wirtualnych sieci prywatnych (Enhanced Virtual Private Networ - eVPN), rozwiązania dostarczanego między innymi przez firmę Lucent Technologies. Umożliwia bezprzewodowe lub przewodowe przesyłanie danych i głosu w szyfrowanych kanałach. Wspiera protokoły i standardy sieciowe używane w większości regionów świata. Oprogramowanie zawiera również rozległy zestaw zaawansowanych usług, w tym mechanizmy bilingu opartego na lokalizacji i zależnej od lokalizacji selekcji połączeń oraz rejestrację parametrów połączenia.

    Oprogramowanie eVPN umożliwia komunikację zarówno poprzez łącza przewodowe, jak i bezprzewodowe, dlatego operatorzy mogą zaoferować firmom będących ich klientami możliwość połączenia wszystkich ich pracowników w jednej sieci, niezależnie czy korzystają ze stałych łączy, czy z telefonów bezprzewodowych. Oprogramowanie Lucenta ma być alternatywą dla sieci firmowych opartych na systemach kampusowych, złożonych z linii należących do firmy lub dzierżawionych. Systemy eVPN pozwalają firmom wykorzystać część sieci operatora tak, jakby była prywatną siecią firmy. Rozwiązanie to oferuje klientom korzyści w postaci niższych kosztów zarządzania i konserwacji oraz szerszego zasięgu geograficznego niż w tradycyjnych sieciach prywatnych.

    Lucent eVPN jest rozwiązaniem międzynarodowym, spełniającym wymagania protokołów i standardów sieciowych i telefonicznych stosowanych na całym świecie. System obsługuje takie standardy łączności bezprzewodowej jak GSM, CDMA. Aby zaspokoić wymagania operatorów sieci bezprzewodowych, eVPN wspiera mechanizmy wyzwalania WIN (Wireless Intelligent Network - bezprzewodowa sieć inteligentna), który oferuje operatorom sieci, szczególnie obsługującym dużą liczbę abonentów, tani sposób uruchomienia i zapewnia rozbudowane usługi dla klientów i sieci komórkowych.

    System eVPN współpracuje również z systemem Lucent GeoCore i korzysta z jego usług do dostarczania zależnych od lokalizacji informacji, segregacji połączeń i bilingu opartego na lokalizacji. Dodatkowo eVPN może pomagać firmom ograniczać użytkownikom dostęp na podstawie miejsca, w którym znajduje się abonent oraz ograniczać inne parametry, co pozwala firmom lepiej zarządzać kosztami usług telekomunikacyjnych.

    Konfiguracja klienta VPN w Microsoft Windows 2000
    W najnowszym systemie operacyjnym, Windows 2000, Microsoft uprościł budowanie bezpiecznych sieci. W poprzednich wersjach systemu NT konfiguracja VPN była dość skomplikowana. Windows 2000 obsługuje tworzenie wirtualnych sieci prywatnych, dzięki czemu użytkownicy tego systemu nie potrzebują instalować dodatkowego oprogramowania, aby korzystać z VPN. W tej wersji systemu udostępniono obsługę protokołu L2TP i opracowano standard implementacji protokołu IPSec dla platformy Windows, który integruje się z usługami Active Directory. Korzystając z usługi Active Directory w systemie Windows 2000 Server, administrator systemu może skonfigurować ustawienia użytkowników dla wirtualnej sieci prywatnej, takie jak wymagane poziomy szyfrowania danych i sposoby uwierzytelniania.

    Konfiguracja serwera VPN jest sprawą bardzo skomplikowaną i należy do obowiązków administratorów sieci. Jak skonfigurować komputer działający w systemie Windows 2000 Professional, aby się stał klientem wirtualnej sieci prywatnej? System Win2K ma wbudowane protokoły PPTP (Point-to-Point Tunneling Protocol) i L2TP (Layer Two Tunneling Protocol), które umożliwiają uzyskanie bezpiecznego dostępu do zasobów sieciowych.

    Istnieją dwa sposoby utworzenia połączenia VPN: przez bezpośrednie połączenie z Internetem lub przez wybranie numeru dostawcy usług internetowych. W pierwszym wypadku użytkownik, który jest już połączony z Internetem, korzysta z połączenia VPN, aby wybrać numer serwera zdalnego dostępu. Połączenie takie może się odbywać poprzez sieć lokalną, modem kablowy lub poprzez usługi takie jak ADSL, gdzie połączenie IP jest ustanowione automatycznie po włączeniu komputera użytkownika. Sterownik PPTP lub L2TP tworzy połączenie VPN z odpowiednim protokołem (PPTP lub L2TP0). Po uwierzytelnieniu użytkownik może również uzyskać dostęp do sieci firmy.

    W drugim przypadku połączenie VPN najpierw wywołuje numer dostawcy uslug internetowych, a po ustanowieniu połączenia wywołuje serwer dostępu zdalnego, który ustanawia tunel PPTP lub L2TP. Po uwierzytelnieniu otrzymuje się dostęp do sieci firmy.

    Aby utworzyć połączenie z wirtualną siecią prywatną (VPN) ze strony klienta należy:

    1. Otworzyć okno Połączenia sieciowe i telefoniczne w Panelu Sterowania.
    2. Utworzyć nowe połączenie do ustanowienia kanału VPN.
    3. Wybrać opcję Połącz z siecią prywatną za pośrednicwem Internetu.

    Jeżeli połączenia zapewniające dostęp do Internetu lub innej sieci są już utworzone, możemy wybrać w kolejnym oknie to, które będzie automatycznie wybierane. W przypadku, gdy nie chcesz, by któreś z połączeń było automatycznie używane, kliknij opcję Nie wybieraj połączenia początkowego.

    4. W następnym oknie należy wpisać nazwę hosta lub adres IP komputera czy sieci, z którą chcemy się połączyć.

    5. Następnie należy zdecydować, czy połączenie będzie dostępne dla wszystkich użytkowników, czy też tworzysz je wyłącznie na własny użytek (tworzone połączenie będzie można udostępnić wszystkim użytkownikom, jeśli korzystasz z konta Administratora lub jesteś członkiem grupy Administratorzy).

    6. Kończąc, należy podać nazwę połączenia. Można oczywiście utworzyć wiele różnych połączeń VPN.
    • Spis treści: Grudzień 2001
    Wystaw ocenę: 
     Średnia ocena: 
    (Głosów: )

    » Dodaj komentarz dodaj komentarz

    Komentarze

    Redakcja PC World nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

    Ten artykuł nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...



    RSS

    DOWNLOAD

    AUKCJE

    ETUI / FUTERAŁ do__ TOMTOM GO 630 Traffic _FV22

    Kup Teraz: 29,99 zł
    Ilość przedmiotów: 10
    Liczba ofert: 0
    Data zakończenia: 2010-03-21 16:54:16
    Lokalizacja: KRAKÓW - Poczta Główna