Droga prywatna - wstęp wzbroniony!

Wirtualne sieci prywatne zapewniają szyfrowany transfer danych przesyłanych przez Internet. Rozwiązanie to umożliwia budowę bezpiecznej formy komunikacji zarówno w obrębie przedsiębiorstwa, jak i dla celów prywatnych.

Wirtualne sieci prywatne zapewniają szyfrowany transfer danych przesyłanych przez Internet. Rozwiązanie to umożliwia budowę bezpiecznej formy komunikacji zarówno w obrębie przedsiębiorstwa, jak i dla celów prywatnych.

Rozwój usług telekomunikacyjnych ułatwił przepływ danych w ramach całego przedsiębiorstwa, nawet w przypadku gdy jego oddziały znajdują się w oddalonych miejscach, czasami nawet w kilku państwach. Tworzenie rozległych sieci korporacyjnych jest możliwe na kilka sposobów z wykorzystaniem tradycyjnych połączeń (dial-up), z wykorzystaniem infrastruktury sieciowej firm trzecich (dzierżawa łączy) lub też samodzielnej budowy szkieletu rozległej sieci korporacyjnej.

Pierwsze rozwiązanie wydaje się atrakcyjne, ale tylko kiedy korzystasz z połączeń lokalnych. Pozostałe warianty, mimo że oferują większą szybkość i niezawodność, okazują się dla małych i średnich przedsiębiorstw często zbyt drogie. Tylko nieliczne firmy i instytucje mogą sobie pozwolić na ponoszenie kosztów połączeń, zakup niezbędnego, specjalistycznego sprzętu i oprogramowania (routery, firewalle). Wraz z rozwojem infrastruktury sieciowej pojawiła się koncepcja tworzenia sieci prywatnych (VPN - Virtual Private Networking), łączących np. oddziały firm poprzez sieci publiczne np. Internet. W upowszechnieniu tego typu rozwiązania pomogło także utworzenie protokołów przeznaczonych do zabezpieczania połączeń VPN, utworzenie programowych elementów sieci prywatnej oraz decyzja amerykańskiego rządu, który zezwolił dostawcom sprzętu na eksport technologii szyfrowania i narzędzi szyfrujących 3DES, które do tej pory były objęte embargiem.

Prywatna sieć w Sieci

Koncepcja wirtualnych sieci prywatnych VPN (Solstice Security Software)

Koncepcja wirtualnych sieci prywatnych VPN (Solstice Security Software)

VPN to rozszerzenie sieci prywatnej (wewnętrznej sieci LAN), które stanowi sieć dwukierunkowych kanałów służących transmisji danych przez sieci publiczne (takie jak Internet) z zachowaniem bezpieczeństwa przesyłanych danych. Wirtualne sieci prywatne umożliwiają transfer danych pomiędzy dwoma komputerami w sposób, który emuluje prywatne połączenie typu punkt-punkt. Podczas tego połączenia dane są szyfrowane, dzięki czemu nawet po ich przechwyceniu przez osobę niepowołaną są one praktycznie nie do odczytania, gdyż proces deszyfrowania wymaga użycia odpowiedniego klucza. Można powiedzieć, że VPN tworzy w ogólnodostępnej Sieci publicznej wydzielone "tunele", które dzięki zastosowaniu odpowiednich mechanizmów uniemożliwiają włamanie się lub przechwycenie transmisji. Najważniejszymi z zabezpieczeń są: sprawdzanie tożsamości zdalnego użytkownika poprzez uwierzytelnianie kryptograficzne, szyfrowanie informacji oraz enkapsulacja w pakietach IP.

Stosowanie wirtualnych sieci prywatnych zapewnia bezpieczne połączenie pomiędzy dwoma segmentami sieci (np. siecią w biurze firmy i bramką innej sieci). Koszty wykorzystania dostępnej publicznie sieci do transferu danych są zazwyczaj niższe niż w przypadku bezpośredniego łączenia się np. z biurem firmy. Pracownicy przebywający z dala od takiego biura mogą za pomocą wirtualnych sieci prywatnych bez problemu przekazywać informacje. Oczywiście do transferu danych można używać Internetu, jednak w przypadku przesyłania poufnych wiadomości pierwszoplanową kwestią stają się sprawy bezpieczeństwa.

Istotną zaletą wynikającą ze stosowania rozwiązań VPN jest to, że dzięki wykorzystywaniu bezpiecznych metod transmisji wspierają handel internetowy, jak również łączą ze sobą przedsiębiorstwa i przedsiębiorstwa z dostawcami. Dodatkowo VPN pociąga klientów jeszcze z innych powodów - jako sposób na łączenie ze sobą filii przedsiębiorstwa i formę dostępu do zasobów sieciowych (intranetu) oraz wewnętrznych firmowych baz danych.

Oprócz zastosowań przeznaczonych dla dużych firm i międzynarodowych korporacji coraz częściej usługi VPN oferowane są przez dostawców usług internetowych i operatorów telekomunikacyjnych małym firmom typu SOHO (Small Office Home Office), które też decydują się na bezpieczne, szyfrowane połączenie z Internetem. W tej chwili teoretycznie możliwe jest zestawianie połączeń typu VPN przez użytkowników indywidualnych za pośrednictwem wyspecjalizowanych dostawców oferujących tego typu usługi. Jednak koszt tych rozwiązań na świecie jest jeszcze bardzo wysoki, natomiast w Polsce praktycznie nie ma tego typu ofert.

Wirtualne sieci prywatne można tworzyć na podstawie różnorodnych kombinacji elementów sprzętowych i programowych. Sieci VPN mogą wykorzystywać istniejące urządzenia, np. firewalle oddzielające transfer danych w sieci lokalnej od Internetu albo odpowiednie routery. Taki sprzęt zapewnia zwykle funkcje niezbędne do działania wirtualnych sieci prywatnych: uwierzytelnianie, filtrowanie, enkapsulację, szyfrowanie. Oprogramowanie do tworzenia wirtualnych sieci prywatnych może wchodzić bezpośrednio w skład systemu operacyjnego, może być też dokupione jako oddzielny produkt. W przypadku rozwiązań opartych głównie na oprogramowaniu stosuje się czasem sprzętowe akceleratory przyspieszające proces szyfrowania, wymagający odpowiedniej mocy obliczeniowej.

Chociaż w ofercie wielu firm (np. Intela lub Cisco) znaleźć można szeroką gamę urządzeń do budowy VPN, to jednak koszt ich zakupu może osiągnąć kilkanaście tysięcy dolarów, co jest kwotą wysoką w stosunku do alternatywnych rozwiązań programowych dostępnych w większości systemów operacyjnych. Dzięki specjalnie zaprojektowanym protokołom (takim jak PPTP, L2TP oraz IPSec) można tworzyć sieci VPN na podstawie systemów takich jak Windows, Linux czy innych platform uniksowych. Korzystając z któregoś z tych systemów, nie musisz ponosić dodatkowych kosztów związanych z instalacją i konfiguracją sieci VPN. W przypadku Linuksa możesz skorzystać z pakietu Free S/WAN lub PoPToP, a na innych systemach uniksowych skonfigurować odpowiednio protokół IPSec. Z kolei w Windows zaimplementowano protokół PPTP oraz IPSec.

W skład połączenia VPN wchodzą następujące komponenty:

  • serwer VPN - komputer, który akceptuje połączenia od klientów VPN. Serwer ten może obsługiwać połączenia zdalnego dostępu lub połączenia VPN pomiędzy routerami.

  • klient VPN - komputer lub router, który inicjuje połączenie VPN z serwerem. Połączenia typu router-router mogą tworzyć komputery z zainstalowanym systemem Windows 2000 Server lub NT Server 4.0, ale wtedy konieczne jest zainstalowanie usługi RRAS (Routing and Remote Access Service), która jest domyślnie dostępna i wykorzystywana w Windows 2000. Klientami VPN są dowolne komputery obsługujące protokoły szyfrujące PPTP, L2TP lub IPSec.

  • tunelowanie - proces enkapsulacji, czyli kapsułkowania pakietów w specjalne ramki, które umożliwiają transport tunelem. Pakiety, które mają ramki nadane przez inne protokoły sieciowe nie mogłyby być przesyłane w innego rodzaju sieciach, gdyż nagłówki zawierają inne informacje. Dlatego cały pakiet jest wkładany do specjalnej kapsułki, przesyłany przez tunel, a następnie rozpakowywany.

  • połączenie VPN - jest to połączenie, które emuluje transmisję punkt-punkt z szyfrowaniem przesyłanych danych. Istnieją dwa rodzaje połączeń: router-router oraz zdalne połączenie komputera-klienta z serwerem firmy lub dostawcą usług internetowych.
Zasada działania wirtualnej sieci prywatnej polega na utworzeniu wirtualnego kanału komunikacyjnego wewnątrz sieci, którą przesyłane są zaszyfrowane dane. Transmisja kanałem komunikacyjnym jest obsługiwana przez protokół tunelujący (tunneling protocol). Zasada działania wirtualnego kanału polega na zestawieniu logicznego połączenia między komputerem użytkownika i serwerem, który pozwala na bezpieczną pracę w taki sposób, jakby istniało bezpośrednie połączenie z siecią prywatną.

Podczas inicjacji wirtualnej sieci prywatnej oprogramowanie po "naszej" stronie komunikuje się z bramką VPN, np. routerem w biurze firmy. Kiedy "druga strona" pozytywnie zweryfikuje uprawnienia, oprogramowanie zestawi odpowiednie połączenie. Pakiety przesyłane przez tunel będą opatrywane odpowiednimi nagłówkami, tak by można było je przesłać siecią publiczną, taką jak Internet. Kiedy pakiety dotrą już do bramki stojącej po "drugiej stronie" tunelu, nagłówek pakietu zostanie usunięty, a informacje będą ostatecznie przekazane do właściwego odbiorcy w sieci lokalnej.


Zobacz również