Przegląd rozwiązań programowych budowy sieci VPN

Urządzenie będące punktem końcowym połączenia VPN nie musi być specjalnym urządzeniem takim jak koncentrator VPN lub router. Może to być zwykły komputer osobisty wyposażony w odpowiedni system operacyjny z wbudowaną obsługą połączeń VPN.

Może to być też komputer z zainstalowanym dodatkowym oprogramowaniem takim jak Cisco VPN Software Client. Wykorzystanie systemu operacyjnego lub oprogramowania do obsługi wirtualnych sieci prywatnych znajduje przeważnie zastosowanie w architekturze host-to-host lub host-to-gateway (po stronie hosta). Bardzo rzadko wykorzystuje się komputery osobiste jako serwery VPN (bramy VPN). Dzięki możliwościom komputerów osobistych, użytkownicy łączący się zdalnie ze swoją siecią np. firmową nie muszą posiadać specjalnych urządzeń tylko odpowiednie oprogramowanie, a moce obliczeniowe dzisiejszych procesorów w zupełności wystarczą do szyfrowania i deszyfrowania danych użytkownika.

IPSec jest obecnie dostępny dla każdego systemu operacyjnego. Stanowi jedno z najbezpieczniejszych rozwiązań do budowy sieci VPN. IPSec VPN używa powszechnie przyjętych algorytmów kryptograficznych: DES, 3DES, AES, RC4 oraz zapewnia integralność danych: MD5 i SHA. W skład IPSec wchodzą trzy mechanizmy:

• ESP - szyfrowanie np. DES, 3DES, AES, Blowfish i/lub uwierzytelnianie danych oraz sprawdzanie integralności pakietów np. MD-5, SHA,
  
• AH - uwierzytelnianie,
  
• IKE (ang. Internet Key Exchange) - negocjowanie parametrów połączenia ISAKMP (ang. Internet Security Association and Key Management Protocol) oraz wymiana kluczy.

1.1. Windows VPN Client
Systemy operacyjne firmy Microsoft: Windows 2000, Windows XP, Windows 2003 i Windows Vista posiadają wbudowane oprogramowanie do obsługi VPN. We wcześniejszych wersjach systemu konieczne było zainstalowanie dodatkowego programu.
Obecne wersje systemu Windows umożliwiają wykorzystanie zarówno L2TP/IPSec jaki i PPTP. Przy zastosowaniu L2TP/IPSec możliwe są dwa sposoby uwierzytelnienia: tajne hasła oraz certyfikaty cyfrowe. Uwierzytelniania dostępne w PPTP to MSCHAPv1 i MSCHAPv2, które posiadają słabe strony pod względem bezpieczeństwa. Dlatego też zaleca się stosowanie L2TP/IPSec. Pomijając ten fakt, PPTP jest protokołem łatwiejszym w implementacji i użyciu. Najczęściej znajduje zastosowanie w implementacjach, które nie wymagają bardzo wysokiego poziomu poufności.
Poniższy obrazek przedstawia okno wyświetlane przez system operacyjny podczas nawiązywania połączenia VPN. W oknie tym podaje się nazwę użytkownika oraz hasło. Wygląd tego okna jest niemalże identyczny we wszystkich wersjach systemu Windows.


1.2. Cisco Software VPN Client
Cisco Software VPN Client jest programem umożliwiającym zdalny dostęp z praktycznie dowolnego komputera osobistego. Istnieją wersje dla różnych systemów operacyjnych: Windows, Linux, Mac OS, Solaris. Wersje dla Windows i Mac OS posiadają interfejs graficzny, pozostałe zarządzane są poprzez wiersz poleceń. Cisco VPN Client używa protokołu IPSec w celu utworzenia połączenia ze zdalnym punktem będącym serwerem Easy VPN wykorzystującym technologię Cisco Easy VPN. Serwerem Easy VPN może być koncentrator VPN z serii 3000, router wyposażony w odpowiedni system operacyjny IOS (ang. Internetwork Operating System), firewall PIX (ang. Private Internet Exchange) lub ASA (ang. Adaptive Security Appliance).

Cisco VPN Client korzysta z wielu rozwiązań, z których niektóre są zgodne ze standardami a inne zostały opracowane przez firmę Cisco. Do wyboru są dwie funkcje skrótu: MD5 i SHA-1, różne metody uwierzytelnienia: tajne klucze, certyfikaty cyfrowe, XAUTH (IKE Extended Authentication), wiele algorytmów szyfrowania: DES, 3DES, AES-128, AES-256. Program można w łatwy sposób skonfigurować z poziomu interfejsu graficznego przedstawionego na rysunku.

Cisco Software VPN Client, w porównaniu z Windows VPN Client, które wspiera także PPTP, wykorzystuje tylko IPSec. Oba rozwiązania są podobne pod względem nawiązywania połączenia (tworzenia tunelu), ale rozwiązanie Cisco wykracza poza standard IPSec i dodaje kilka własnych pomysłów, np. split-tunneling (oddzielenie ruchu, który ma być chroniony od reszty ruchu), IPSec over TCP lub reverse route injection. Wykorzystanie Cisco Software VPN Client daje więc większe możliwości. Nie oznacza to, że rozwiązanie firmy Microsoft jest nieprzydatne. Wręcz przeciwnie, posiada pewne zalety w stosunku do oprogramowania Cisco, np. istnieje możliwość utworzenia pakietów instalacyjnych zawierających wszystkie ustawienia IPSec dotyczące polityki bezpieczeństwa i profili połączenia VPN, co w znacznym stopniu ułatwia zarządzanie stacjami roboczymi.