VPN za darmo

Jak zwiększyć bezpieczeństwo połączeń w sieciach rozległych? Jak połączyć odległe od siebie komputery w sieć "lokalną"? W jaki sposób zapewnić poufność w sieciach WiFi? Należy zestawić je w wirtualną sieć prywatną VPN. W artykule omówimy możliwości i ograniczenia programowych VPN spod znaku open source.

Jak zwiększyć bezpieczeństwo połączeń w sieciach rozległych? Jak połączyć odległe od siebie komputery w sieć "lokalną"? W jaki sposób zapewnić poufność w sieciach WiFi? Należy zestawić je w wirtualną sieć prywatną VPN. W artykule omówimy możliwości i ograniczenia programowych VPN spod znaku open source.

Wirtualna sieć prywatna VPN korzysta z publicznej infrastruktury telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania, szyfrowania i procedur bezpieczeństwa zachowuje poufność danych.

W połączeniach VPN wykorzystywane są dwa adresy IP: zewnętrzny, funkcjonujący w sieci operatora, oraz wewnętrzny - funkcjonujący wewnątrz sieci prywatnej. Konieczne jest wyznaczenie uprawnień dla określonych grup zdalnych użytkowników oraz przyporządkowanie im dostępnych zasobów: katalogów, serwerów, portów.

W połączeniach VPN wykorzystywane są dwa adresy IP: zewnętrzny, funkcjonujący w sieci operatora, oraz wewnętrzny - funkcjonujący wewnątrz sieci prywatnej. Konieczne jest wyznaczenie uprawnień dla określonych grup zdalnych użytkowników oraz przyporządkowanie im dostępnych zasobów: katalogów, serwerów, portów.

Sieci VPN zapewniają dostęp zdalnym pracownikom do firmowych serwerów i intranetu, łączą oddziały firmy oraz tworzą ekstranety pomiędzy zaufanymi partnerami. Można nimi przesyłać nie tylko dane, ale również głos i wideo, a także wykorzystywać je do świadczenia usług o ograniczonym dostępie, takich jak transakcje bankowe, pobieranie płatnych treści itd. Zastosowanie sieci VPN uniezależnia pracownika od miejsca pracy.

VPN ma trzy rodzaje zastosowań:

  • sieci dostępowe - łączą zdalnych użytkowników: czyli pracowników mobilnych, konsultantów, sprzedawców, lokalne filie, z siedzibą firmy;

  • intranet - łączy odległe oddziały tej samej firmy;

  • ekstranet - zapewnia ograniczony dostęp do sieci firmowej zaufanym partnerom biznesowym.

    Rozwiązania VPN powinny znaleźć szerokie zastosowanie w sieciach WiFi. Wykorzystywany w nich protokół WEP (Wired Equivalent Privacy) nie zapewnia poufności, a nadawany sygnał radiowy może odbierać każda antena znajdująca się w jego zasięgu, także należąca do intruza. Są nawet specjalne narzędzia do łamania zabezpieczeń WEP i podsłuchu transmisji sieci WLAN, np. Wep-Crack, AirSnort ( http://airsnort.shmoo.com ) - mutacja Snorta, znanego z sieci przewodowych.

    Bezpieczne sieci VPN można tworzyć za pomocą jednego z trzech protokołów: L2TP (Layer 2 Tunneling Protocol), IPSecurity lub SSL/TLS (Secure Sockets Layer/Transport Layer Security). Dominującym obecnie protokołem jest IPSec, ale coraz większą popularnością cieszy się SSL/TLS.

    Czy na pewno bezpłatnie?

    Oprogramowanie udostępnia wiele algorytmów kryptograficznych, m.in. DES, 3DES, AES, Blowfish. Jako mechanizm uwierzytelniania można wykorzystać MD5, SHA1, SHA2.

    Oprogramowanie udostępnia wiele algorytmów kryptograficznych, m.in. DES, 3DES, AES, Blowfish. Jako mechanizm uwierzytelniania można wykorzystać MD5, SHA1, SHA2.

    Stwierdzenie, że systemy VPN spod znaku open source są bezpłatne, może czasami wprowadzać w błąd. Wprawdzie samo oprogramowanie, rozprowadzane na licencji GNU GPL (General Public Licence), nic nie kosztuje, ale na wdrożenie tych systemów należy poświęcić zdecydowanie więcej czasu niż na rozwiązania "z pudełka". Produkty sprzętowe wydają się lepszym rozwiązaniem w wypadku bardzo małej oraz bardzo dużej liczby użytkowników. Jeśli użytkowników jest niewielu, mogą ich obsługiwać łatwo konfigurowalne, tanie urządzenia. W przypadku sieci VPN koszt wdrożenia i utrzymania rozwiązania open source przez administratora bywa wyższy. Przykładowo sprzętowe rozwiązanie do firm kosztuje dla pięciu użytkowników 900 zł (Check Point Safe@Office 100), a dla dziesięciu 1466 zł (ZyXEL ZyWall 5). Rozwiązania sprzętowe ze względu na wydajność sprawdzają się lepiej także w dużych przedsiębiorstwach. Często funkcja VPN jest oferowana jako dodatek do sprzętowej zapory lub bramy sieci WiFi. Usługi VPN oferują już także polscy dostawcy usług internetowych.

    Rozwiązania IPSec VPN

    Dwa tryby IPSec - transportowy i tunelowy.

    Dwa tryby IPSec - transportowy i tunelowy.

    IPSec dostępny jest obecnie do każdego systemu operacyjnego. Zyskał miano najbezpieczniejszego rozwiązania do budowy sieci VPN. Jest kolekcją protokołów, a IPSec VPN używa powszechnie przyjętych algorytmów kryptograficznych: DES, 3DES, AES, RC4 oraz zapewniających integralność danych: MD5, SHA. Do wykorzystania są trzy mechanizmy:

  • ESP (Encapsulating Security Pay-load) - szyfrowanie (DES, 3DES, AES, Blowfish) i/lub uwierzytelnianie danych oraz sprawdzanie integralności pakietów (MD-5, SHA);

  • AH (Authentication Header) - uwierzytelnianie; nieobsługiwany przez najnowsze wersje oprogramowania;

  • IKE (Internet Key Exchange) - negocjowanie parametrów połączenia - ISAKMP (Internet Security Association and Key Management Protocol) oraz wymiana kluczy (np. protokół Diffie-Hellmana).

    Jest to najprostsza w konfiguracji, a zarazem solidna i oferująca wiele możliwości wersja IPSec VPN na licencji GPL. Zarządzanie na razie możliwe jest tylko w trybie tekstowym.

    Jest to najprostsza w konfiguracji, a zarazem solidna i oferująca wiele możliwości wersja IPSec VPN na licencji GPL. Zarządzanie na razie możliwe jest tylko w trybie tekstowym.

    IPSec funkcjonuje w warstwie sieci modelu OSI. Sieci VPN mogą pracować w dwóch trybach:

  • tunelowym - ruch jest szyfrowany jedynie pomiędzy bramami tworzącymi w ten sposób tunel, którym mogą się komunikować urządzenia w sieci nieobsługujące IPSec;

  • transportowym - sam host przeprowadza transmisję IPSec.

    Najpopularniejsza konfiguracja to centralny serwer VPN, do którego podłączają się zdalni użytkownicy (jako tzw. RoadWarrior).

    FreeS/WAN

    http://www.freeswan.org

    Różnice między wersjami OpenSwan a StrongSwan

    Różnice między wersjami OpenSwan a StrongSwan

    FreeS/WAN (Secure Wide Area Network) do niedawna był najpopularniejszą i najbardziej zaawansowaną implementacją IPSec do środowiska linuksowego. Oferuje dobrą kryptografię, bo celem jego twórców było uniemożliwienie podsłuchu transmisji internetowych m.in. przez agencje rządowe. Ze względu na obowiązujące w Stanach Zjednoczonych ograniczenie eksportu oprogramowania kryptograficznego nie jest on dostarczany wraz z jądrami systemów operacyjnych. Aby uniknąć sankcji prawnych, jako twórców kodu podaje się obywateli Kanady.

    W skład pakietu wchodzą:

  • KLIPS (Kernel Ipsec Support) - rozszerzenie jądra systemu o IPSec, implementację ES;

  • Pluto - demon implementujący IKE, negocjujący połączenia z innymi systemami.

    Aby umożliwić transmisję IPSec w sieciach, w których po drodze występuje translacja adresów NAT, należy zainstalować łatę z funkcją NAT Traversal. Możliwe jest również doinstalowanie obsługi certyfikatów cyfrowych X.509 oraz Smart Cards. Nie jest obsługiwany pojedynczy DES (Data Encryption Standard), uważany za niebezpieczny. Oferowany jest natomiast potrójny DES (3DES) oraz AES (Advanced Encryption Standard). FreeS/WAN nie obsługuje transmisji w trybie transportowym, ale pojedynczy host może funkcjonować jako własna brama. Implementacja FreeS/WAN dostępna jest do większości dystrybucji Linux. Z powodu rozbieżności pomiędzy założeniami projektu (minimalna funkcjonalność) a oczekiwaniami użytkowników (dodatkowe funkcje, np. NAT Traversal, różne algorytmy kryptograficzne) projekt zawieszono, powołując dwa poniższe.

    Transmisje

    Oprogramowanie klienckie nawiązuje połączenie przez Internet z bramą IPSec VPN, po czym inicjuje procedurę wymiany kluczy IKE. Po pomyślnym uwierzytelnieniu zdalnej maszyny zestawiany jest tunel VPN. Jednorazowe utworzenie takiego tunelu IPSec pomiędzy odległymi maszynami umożliwia przeprowadzenie dowolnej liczby transmisji.


  • Zobacz również