Tunel w Internecie

Zdalny dostęp dla wielu użytkowników jest dzisiaj bardziej koniecznością niż luksusem. W ten sposób mogą korzystać z plików i zasobów sieci lokalnej, np. firmowej, będąc w domu czy w podróży.

Jeśli komputer jest podłączony do Internetu przez modem, łącze szerokopasmowe lub sieć LAN i połączenie z Internetem jest stałe, najkorzystniejszym rozwiązaniem zdalnego dostępu jest utworzenie wirtualnej sieci prywatnej (VPN - Virtual Private Network). Wirtualnej, bo zamiast kłaść kilometry nowych kabli, używa się istniejącej infrastruktury sieci publicznej, najczęściej Internetu. Prywatnej, bo połączenia z serwerem VPN mogą mieć tylko uprawnieni użytkownicy, a transmisja jest szyfrowana. Możesz nawiązać połączenie wirtualnej sieci prywatnej między komputerem a serwerem zdalnego dostępu, który fizycznie znajduje się w dowolnym miejscu na świecie, np. w oddziale firmy na drugim kontynencie.

Internet ze swej natury nie zapewnia bezpieczeństwa, dlatego dane w połączeniach VPN muszą być szyfrowane, ponadto są umieszczane w kapsułkach, których zewnętrzna powłoka jest dodatkową ochroną. Te kapsułki to pakiety danych protokołu TCP/IP umieszczane wewnątrz pakietów innego, bezpieczniejszego protokołu, np. IPSec. Z tego względu połączenia VPN są nazywane również połączeniami tunelowymi - zewnętrzny protokół tworzy bezpieczny tunel do transmisji danych.

To pozwala na bezpieczny dostęp do serwera VPN i za jego pośrednictwem do zasobów sieci lokalnej. Połączenie VPN umożliwia korzystanie z dysków sieciowych lub zdalną kontrolę drugiego komputera za pomocą programów takich, jak VNC 4.1 (http://www.realvnc ) czy pcAnywhere 11.5 (http://www.symantec.pl ). Gdy tunel VPN zostanie utworzony, każda aplikacja (przeglądarka WWW, klient pocztowy) będzie go używać tak, jakby było to zwykłe połączenie. Jeśli potrzebujesz zdalnego dostępu, nie zadawaj sobie pytania, czy używać VPN, ale zastanów się, którą technologię wybrać. Są cztery główne protokoły, każdy ma swoje zalety i wady.

Rozwiązania VPN

Ponieważ VPN tworzy bezpieczny, wirtualny korytarz komunikacji w publicznej sieci, protokoły używane do tworzenia tych połączeń są nazywane protokołami tunelowymi. Najpopularniejsze technologie VPN to: PPTP, L2TP, IPSec, SSL.

Wybór najodpowiedniejszej jest trudny. Dużo zależy od czynników takich, jak system operacyjny klienta i serwera zdalnego dostępu, zasobów sieciowych, do których potrzebujesz dostępu, wymaganego poziomu bezpieczeństwa i kwestii wydajności.

Punkt do punktu

PPTP (Point-to-Point Tunnelling Protocol) jest rozszerzeniem internetowego standardu PPP (Point-to-Point Protocol), protokołu warstwy łącza danych używanego do przesyłania pakietów IP przez połączenia szeregowe. PPTP został opracowany przez Microsoft i jest jedynym protokołem VPN standardowo wbudowanym w Windows.

PPTP tworzy tunel w sieci publicznej, ale nie oferuje szyfrowania. Jest używany w połączeniu z MPPE (Microsoft Point-to-Point Encryption) do tworzenia bezpiecznych połączeń VPN. Jeśli doda się do tego dobrą metodę autoryzacji, np. EAP (Extensible Authentication Protocol), PPTP staje się bezpiecznym rozwiązaniem. Przenosi niewiele dodatkowych informacji, dzięki czemu jest szybszy od innych rozwiązań.

Warstwa, warstwa

The L2TP (Layer 2 Tunnelling Protocol) powstał w wyniku współpracy firm Cisco i Microsoft, łącząc funkcje protokołów PPTP i L2F (Layer 2 Forwarding). Ten drugi został opracowany wcześniej przez Cisco. Jak można się domyśleć, L2TP działa w warstwie łącza danych modelu OSI (Open Systems Interconnection). Klient L2TP jest wbudowany w Windows 2000/XP/ Server 2003, ale do starszych wersji systemu można pobrać odpowiednie oprogramowanie.

L2TP ma kilka przewag nad PPTP, który zapewnia poufność danych, ale L2TP idzie dalej i sprawdza także spójność danych oraz zapewnia autoryzację ich pochodzenia. Jednak dodatkowe informacje przesyłane w pakietach, potrzebne do działania tych funkcji mogą mieć mniejszą wydajność niż PPTP.

Zaczekaj sekundę

IPSec (IP Security Protocol) w praktyce zapewnia szyfrowanie w protokole L2TP, ale sam również może być używany jako protokół tunelowy. Podobnie, jak PPTP i L2TP, IPSec umożliwia nawiązywanie połączeń, które kończą się firewallem i zapewnia zdalnym użytkownikom dostęp do całej sieci. IPSec działa w wyższej warstwie modelu OSI - w trzeciej warstwie - sieciowej. Wiele sprzętowych rozwiązań VPN używa implementacji IPSec.

Autoryzacja odbywa się z wykorzystaniem protokołu IKE (Internet Key Exchange) z cyfrowymi certyfikatami lub współużytkowanymi kluczami. Połączenia VPN mogą chronić przed wieloma powszechnymi rodzajami ataków, jak DoS czy polegającymi na przechwytywaniu i modyfikowaniu komunikacji między dwoma komputerami (man in the middle).

Obsługę protokołu IPSec mają wbudowane systemy Windows 2000/ XP/Server 2003, ale nie obsługują go starsze wersje systemu. Jeśli masz bramkę VPN, może być konieczny zakup licencji na oprogramowanie klienckie. Jeśli używasz wielu aplikacji, IPSec może okazać się zbawiennym rozwiązaniem.

Wadą jest pełny dostęp do sieci dla włamywacza, gdy uda mu się przejąć kontrolę nad komputerem klienckim, np. pecetem w domu. Klienty często umożliwiają administratorom określenie, jakie oprogramowanie ochronne jest zainstalowane w komputerze (np. antywirus), zanim IPSec zezwoli na nawiązanie połączenia. Jest to dobre rozwiązanie w sieciach, w których połączenia są nawiązywane między stałymi punktami, bo może być zastosowane w urządzeniach sieciowych bez obsługi oprogramowania klienckiego. IPSec nie jest korzystny dla użytkowników mobilnych - koszt instalacji oprogramowania, konfiguracji administrowania może być znaczny.

Gniazdko

Jeśli kiedykolwiek kupowałeś coś przez Internet lub korzystałeś z internetowego konta bankowego, miałeś do czynienia z połączeniem SSL (Secure Socket Layer). Nie potrzebujesz wówczas specjalnego oprogramowania klienckiego, po prostu uruchamiasz przeglądarkę internetową, żeby uzyskać dostęp do zdalnej sieci. W połączeniach SSL zamiast dawać klientowi pełny dostęp do sieci lokalnej, jak to się dzieje w wypadku IPSec, można mu umożliwić dostęp tylko do określonych aplikacji, np. internetowych (firmowa poczta czy intranet) lub opartych na Javie. Jest to rozwiązanie tańsze i łatwiejsze do wdrożenia niż IPSec.

SSL działa na najwyższej siódmej warstwie modelu OSI, która pozwala na większą precyzję w przydzielaniu praw zdalnego dostępu. Ponieważ SSL działa w warstwie aplikacji, administratorzy sieci mogą zdefiniować zestaw reguł zdalnego dostępu opierających się na takich kryteriach, jak aplikacja, port TCP lub użytkownik. Coś czego w wypadku IPSec nie da się zrealizować bez dodatkowego instalowania firewalla tunelowego na końcu połączenia i konfigurowania w nim wielu złożonych reguł.

Ponieważ dostęp przez SSL jest oparty na przeglądarce internetowej, użytkownicy mogą bezpiecznie logować się do serwera, używając niemal dowolnego urządzenia. Zapory sieciowe raczej nie utrudniają działania SSL, bo ten protokół używa portów, które z reguły są otwarte.

Zaletą jest, że SSL działa poprzez serwery proxy i routery z włączoną translacją adresów (NAT). SSL rozwiązuje niemal wszystkie problemy związane ze zdalnym dostępem, za wyjątkiem jednego: nie oferuje zdalnego dostępu do klienta, serwera czy innej aplikacji niedostępnej przez przeglądarkę WWW . Inaczej niż IPSec, SSL nie daje bezpośredniego dostępu do plików udostępnionych w sieci. Może również wymagać kilku autoryzacji podczas sesji, co zwiększa obciążenie procesora zarówno po stronie klienta, jak i serwera. Dlatego SSL gorzej radzi sobie z obsługą wielu równoczesnych połączeń, co dla koncentratorów IPSec nie stanowi problemu.