Założenia i wymagania na sieć VPN - BEZPIECZEŃSTWO - VPN - OCHRONA DANYCH - SIEĆ - POŁĄCZENIE
Przedstawicielstwo Handlowe Paweł Rutkowski   Mouser Electronics Poland   PCBWay  

Energetyka, Automatyka przemysłowa, Elektrotechnika

Dodaj firmę Ogłoszenia Poleć znajomemu Dodaj artykuł Newsletter RSS
strona główna ARTYKUŁY Telekomunikacja Założenia i wymagania na sieć VPN
Telekomunikacja
05 listopad 2009
drukuj stronę
poleć znajomemu

Założenia i wymagania na sieć VPN

autor: Kamil Dawid

Sieć VPN jest rozszerzeniem wewnętrznej sieci lokalnej, które stanowią dwukierunkowe kanały służące do transmisji danych przez sieci publiczne z zachowaniem bezpieczeństwa przesyłanych danych. Wirtualne sieci prywatne pozwalają na transfer danych pomiędzy dwoma odległymi komputerami. Podczas tego połączenia dane są szyfrowane, dzięki czemu (nawet w przypadku przechwycenia ich przez osoby trzecie) są nie do odczytania. Proces deszyfrowania wymaga użycia odpowiedniego tajnego klucza.

1. Założenia i wymagania na sieć VPN
Wirtualne sieci prywatne tworzą w ogólnodostępnej sieci publicznej wydzielone kanały (tunele), które dzięki wykorzystaniu odpowiednich mechanizmów bezpieczeństwa uniemożliwiają włamanie się lub przechwycenie transmitowanych danych. Do najważniejszych takich mechanizmów można zaliczyć:

  • weryfikacja tożsamości zdalnego użytkownika,
  • szyfrowanie informacji,
  • enkapsulacja w pakietach IP.


Stosowanie wirtualnych sieci prywatnych zapewnia bezpiecznie połączenie pomiędzy dwoma segmentami sieci, np. pomiędzy centralą firmy a oddziałem w innym mieści. Koszt wykorzystania dostępnej sieci publicznej do transferu danych jest zdecydowanie niższy niż w przypadku bezpośredniego łączenia się z oddziałem firmy. Dodatkowo pracownicy firmy, przebywający z dala od centrali, mogą przekazywać informacje za pomocą wirtualnych sieci prywatnych. Do transferu danych można także byłoby użyć Internetu, ale w przypadku przesyłania poufnych danych pojawia się problem bezpieczeństwa.

Bardzo ważną zaletą wynikająca z zastosowania rozwiązań VPN jest to, że dzięki wykorzystywaniu bezpiecznych metod transmisji pozwalają zdalnym pracownikom na dostęp do zasobów sieciowych danej firmy lub wewnętrznych baz danych.

Wirtualne sieci prywatne można budować na podstawie różnorodnych elementów sprzętowych i programowych. Sieci VPN mogą wykorzystywać istniejące już urządzenia, np. firewalle oddzielające transfer danych w sieci lokalnej od Internetu albo odpowiednie routery. Taki sprzęt zapewnia niezbędne funkcje do działania wirtualnych sieci prywatnych: uwierzytelnianie, filtrowanie, enkapsulację i szyfrowanie.

Dzięki specjalnie zaprojektowanym protokołom jak: PPTP, L2TP, SSL i IPSec, sieci VPN można tworzyć na systemach: Windows, Linux czy innych platformach uniksowych. W przypadku Linuksa można skorzystać z pakietu FreeS/WAN. Z kolei w systemie Windows zaimplementowano protokół PPTP i IPSec.

W skład połączenia VPN wchodzą następujące składniki:

  • serwer VPN - jest to komputer, który akceptuje połączenia od klientów VPN. Serwer ten może obsługiwać połączenia zdalnego dostępu lub połączenia VPN pomiędzy routerami.
  • klient VPN - jest to komputer lub router, który inicjuje połączenia VPN z serwerem. Klientami mogą być dowolne komputery obsługujące protokoły szyfrujące PPTP, L2TP lub IPSec.
  • tunelowanie - proces enkapsulacji, czyli kapsułkowanie pakietów w specjalne ramki, które umożliwiają transport tunelem.
  • połączenie VPN - jest to połączenie, które emuluje transmisję punkt-punkt z szyfrowaniem przesyłanych danych. Istnieją dwa rodzaje połączeń: router-router oraz połączenie zdalne pomiędzy komputerem klienta i serwerem firmy.


Sieci VPN powinny spełniać wiele wymagań, znacznie przewyższających wymagania stawiane protokołom stosowanym w sieci Internet. Do podstawowych wymagań z zakresu bezpieczeństwa i ochrony danych należy zaliczyć:

  • poufność - atakujący nie powinien być w stanie określić zawartości wiadomości. Zakładając, że nie chodzi wyłącznie o rozszyfrowanie wiadomości, atakujący może wyrządzić szkody znając wyłącznie rozmiar szyfrowanych danych obserwując wzorce bitów w danych szyfrowanych lub też uzyskując dostęp do chociażby jednego bitu.
  • uwierzytelnianie i kontrola dostępu - atakujący nie powinien być w stanie dodać żadnych danych mogących udawać dane prawidłowe. Należy wykrywać sytuacje, w których atakujący może powtórzyć wiadomość autentyczną.
  • ochrona integralności - atakujący nie powinien być w stanie zmodyfikować zawartości wiadomości. Należy pamiętać o ochronie integralności przepływu danych, w których atakujący nie powinien być w stanie umieścić, usunąć lub zmienić kolejności przesyłanych wiadomości. Atakujący nie musi pokonać w zasadzie żadnych zabezpieczeń (poufność danych, uwierzytelnianie, integralność danych), aby wykonać wiele rodzajów ataków modyfikujących przepływ danych w sieci VPN.



Istnieją trzy główne typy architektury VPN: host-to-host, host-to-gateway i gateway-to-gateway. Zostały one przedstawione i omówione na następnej stronie artykułu.

1.1. Architektura typu gateway-to-gateway

Architektura typu gateway-to-gateway służy do zapewnienia bezpiecznej komunikacji pomiędzy dwoma sieciami. Jest ona często wykorzystywana do połączenia ze sobą dwóch odległych oddziałów firmy. Przykład takiej architektury pokazano na rysunku 1.1.





Rysunek 1.1. Architektura gateway-to-gateway.


Implementacja takiej struktury odbywa się poprzez umiejscowienie w obu sieciach urządzeń pełniących rolę bram VPN, a następnie na ustanowieniu połączenia VPN pomiędzy tymi bramami. Nawiązanie połączenia odbywa się w pewien ustalony sposób. Jedna z bram VPN wysyła żądanie ustanowienia połączenia do drugiej bramy, następnie obie bramy wymieniają się między sobą informacjami uwierzytelniającymi oraz negocjują między sobą parametry połączenia. Dopiero po udanych negocjacjach połączenie jest rzeczywiście ustanowione. W zależności od implementacji i konfiguracji, połączenie takie może chronić cały ruch lub tylko pewne klasy ruchu. Można także ustanowić kilka połączeń VPN pomiędzy bramami, z których każde będzie chronić inną klasę ruchu i posiadać inne parametry, np. bardziej skomplikowany algorytm szyfrujący do przesyłania bardziej poufnych danych.

Architektura typu gateway-to-gateway nie chroni ruchu na całej drodze od użytkownika z jednej sieci do użytkownika z drugiej sieci. Chroniony jest tylko odcinek zaznaczony na rysunku 1.1. linią ciągłą, czyli odcinek pomiędzy dwoma bramami VPN. Odcinek pomiędzy danych użytkownikiem a bramą w tej samej sieci nie jest chroniony przez połączenie VPN, dlatego też tego rodzaju architekturę zaleca się stosować do połączenia ze sobą dwóch zaufanych sieci.

Zaletą takiego rozwiązania jest prostota implementacji oraz stosunkowo niskie koszty, ponieważ nie wymaga się instalowania dodatkowego oprogramowania na stacjach roboczych i serwerach. Ponadto nie ma potrzeby dodatkowej konfiguracji systemów operacyjnych. Zabezpieczeniem przesyłanych danych, na przykład szyfrowaniem zajmuje się brama VPN, a nie poszczególni użytkownicy. Z tego względu architektura typu gateway-to-gateway jest przezroczysta dla użytkowników i serwerów [1].

1.2. Architektura typu host-to-gateway

Architektura typu host-to-gateway jest bardzo często wykorzystywana w wielu rozwiązaniach i cieszy się coraz większą popularnością. Umożliwia ona bezpieczny zdalny dostęp do zasobów sieciowych. Dzięki niej programiści, administratorzy i inni pracownicy zdalni mogą połączyć się z siecią lokalną swojej firmy z komputera domowego lub nawet z kafejki internetowej i przesyłać poufne dane bez ryzyka przechwycenia ich prze niepożądane osoby [1]. Architektury tego typu została przedstawiona na rysunku 1.2.





Rysunek 1.2. Architektura host-to-gateway.


Rozwiązanie to wymaga urządzenia pełniącego rolę bramy VPN po stronie sieci, z którą łączą się pracownicy zdalni oraz specjalnego oprogramowania po stronie użytkowników, np. programowy klient VPN w przypadku wykorzystania protokołu IPsec.

W chwili łączenia się użytkownika z bramą VPN wymagana jest jakaś forma uwierzytelnienia, np. w postaci hasła. Z tego względu architektura typu host-to-gateway wymaga większych nakładów pracy niż architektura gateway-to-gateway i nie jest ona przezroczysta dla użytkowników. Uwierzytelnianie użytkowników realizuje brama VPN lub dedykowany serwer, np. serwer RADIUS (ang. Remote Authentication Dial In User Service).

Architektura host-to-gateway nie chroni ruchu na całej trasie jego przepływu. Zabezpieczony jest tylko odcinek pomiędzy komputerem, z którego łączy się użytkownik zdalny, a bramą VPN. Architekturę tej używa się bardzo często do połączenia użytkownika zdalnego łączącego się z sieci publicznej z zasobami w sieci zaufanej.

1.3. Architektura typu host-to-host

Architektura typu host-to-host łączy dwa krańcowe punkty bez pośrednictwa bramy VPN. Jest ona rzadko stosowana, zwykle wtedy, gdy jeden lub więcej administratorów potrzebuje zdalnie zarządzać urządzeniem sieciowym. W takim przypadku stacja robocza administratora lub serwisanta zostaje skonfigurowana jako klient VPN, a zarządzające urządzenie jako serwer VPN. Architektura tego typu została przedstawiona na rysunku 1.3.





Rysunek 1.3. Architektura host-to-host.


W chwili, gdy użytkownik chce połączyć się z zarządzanym serwerem musi zostać uwierzytelniony. Klient i serwer wymieniają informacje uwierzytelniające i połączenie zostaje nawiązane. Od tej chwili użytkownik może korzystać z serwera, a połączenie jest zabezpieczone przez VPN [2].

Architektura typu host-to-host jest jedyną, która chroni przesyłane dane na całej trasie przepływu - od stacji roboczej użytkownika aż do serwera. Może to być powodem różnych problemów. Urządzenia, np. firewall, sprawdzające zawartość pakietów mogą wtedy niepoprawnie wykonywać swoje funkcje, jeśli połączenie VPN jest szyfrowane. Z tego powodu, architektura tego typu wykorzystywana jest przede wszystkim tam, gdzie niewielka liczba zaufanych osób musi zdalnie zarządzać jakimś serwerem.

Architektura host-to-host jest pracochłonna w zakresie implementacji i utrzymania. Nie jest ona przezroczysta ani dla użytkowników, ani dla serwerów. Zarówno stacja robocza użytkownika jak i sam serwer muszą mieć zainstalowane i poprawnie skonfigurowane oprogramowanie umożliwiające połączenie VPN.

1.4. Ogólny opis środowiska systemowego

W niniejszej pracy zostanie przedstawiona koncepcja połączenia centrali z oddziałem firmy. Będzie to firma handlowa posiadająca centralę w Warszawie oraz jeden oddział w Gdańsku. Z uwagi na fakt, że w Warszawie będzie znajdował się serwer z programem handlowym, aby umożliwić pracownikom w oddziale przesyłanie danych w bezpieczny sposób konieczne jest zestawienie połączenia VPN pomiędzy Warszawą a Gdańskiem. Dzięki temu handlowcy z oddziału będą łączyć się poprzez przezroczysty tunel ze zdalnym pulpitem w centrali aby móc pracować na programie handlowym w centrali. Poprzez kanał VPN będą przesyłane jedynie wyniki działania programu. Dodatkowo dostęp do Internetu i pozostałych usług dla pracowników w Gdańsku będzie realizowany za pośrednictwem tunelu VPN poprzez łącze w centrali - DSL 1Mbit.

W koncepcji wykorzystano oprogramowanie OpenVPN, które działa w oparciu o protokół SSL. W obu lokalizacjach będą znajdować się routery pracujące w systemie Linux. Będą one pełnić rolę bramy SSL. Dodatkowo router w centrali zostanie tak skonfigurowany, że będzie pełnił funkcję firewalla, dzięki któremu odbywać się będzie autoryzacja użytkowników z oddziału - przyznanie dostępu do określonych usług (serwerów). Dla osób pracujących w centrali dostęp do usług realizowany będzie za pomocą list dostępowych konfigurowanych na routerze (bramie SSL).

Wejście do strefy zdemilitaryzowanej, w której znajdują się serwery zabezpieczony będzie czytnikiem biometrycznym. Dostęp do tego pomieszczenia posiada tylko administrator sieci oraz serwisant. Schemat połączenia VPN pomiędzy centralą a oddziałem firmy przedstawia rysunek 1.4.





Rysunek 1.4. Schemat połączenia centrali z oddziałem firmy.






źródło:
[1]. Roland J. F., Newcomb M. J.: CCSP Cisco Secure VPN Exam Certification Guide, Cisco Press, Indianapolis 2003
[2]. Frankel S., Kent K., Lewkowski R. i inni: Guide to IPsec VPNs, Recommendations of the National Institute of Stadards and Technology, 2005,
http://csrc.nist.gov/publications/nistpubs/800-77/sp800-77.pdf


Tagi
BEZPIECZEŃSTWO
VPN
OCHRONA DANYCH
SIEĆ
POŁĄCZENIE
follow us in feedly
Średnia ocena:
 
REKLAMA
Newsletter

Otrzymuj wiadomości z rynku elektrotechniki i informacje o nowościach produktowych bezpośrednio na swój adres e-mail.

Zapisz się
Administratorem danych osobowych jest Media Pakiet Sp. z o.o. z siedzibą w Białymstoku, adres: 15-617 Białystok ul. Nowosielska 50, @: biuro@elektroonline.pl. W Polityce Prywatności Administrator informuje o celu, okresie i podstawach prawnych przetwarzania danych osobowych, a także o prawach jakie przysługują osobom, których przetwarzane dane osobowe dotyczą, podmiotom którym Administrator może powierzyć do przetwarzania dane osobowe, oraz o zasadach zautomatyzowanego przetwarzania danych osobowych.
Komentarze (1)
Dodaj komentarz:  
Twój pseudonim: Zaloguj
Twój komentarz:
dodaj komentarz
No avatar
VPN
20:15
06 kwiecień 2010
Ciekawy artykuł, w sieci coraz więcej darmowych i dobrych usług VPN.

http://blog.kacperos.pl/najlepsze-darmowe-uslugi-vpn/
Podobne artykuły
Top 6 rzeczy do zrobienia z nowym smartfonem
Top 6 rzeczy do zrobienia z nowym smartfonem
10 urządzeń, na których możesz używać VPN
10 urządzeń, na których możesz używać VPN
System BHP – podstawa czy konieczność?
System BHP – podstawa czy konieczność?
Jak zmienić swoją lokalizację w Internecie?
Jak zmienić swoją lokalizację w Internecie?
Wymagania dla środków ochronnych przed termicznym działaniem łuku elektrycznego
Wymagania dla środków ochronnych przed termicznym działaniem łuku ...
Zagrożenie porażenia ludzi od uderzenia pioruna
Zagrożenie porażenia ludzi od uderzenia pioruna
Forum
Zewnętrzny wyłącznik radia. Witam! Nie ma znaczenia dodatkowy wyłącznik, ponieważ potencjometr też posiada skokowy wyłącznik zasilania. Będzie to po prostu zdublowanie włączenia i wyłączenia radia. Też jestem ...
Ile ram zaplanować na serwer Ile RAM-u powinienem zaplanować na serwer do obsługi baz danych? Planuję uruchomić na nim średniej wielkości bazę, ale zastanawiam się, czy powinienem zostawić jakiś zapas na przyszłość. ...
Ensuring Visual Precision in Electrical and Technical ... Dzięki zaciętej rozgrywce, niepokojącej atmosferze i elastycznemu poziomowi trudności, Granny Game zasługuje na miano jednej z klasycznych gier survival horror. Gra nie potrzebuje ...
Zarządzanie pracownikami terenowymi Szukam dobrej aplikacji do zarządzania pracownikami terenowymi. Mam firmę instalacyjną i obecnie komunikacja z kilkooma osobami bywa problematyczna. 
Co jest lepsze: sufit napinany czy płyta ... Jaki sufit wybrać do remontu sypialni - napinany czy gipsowo-kartonowy? Zależy mi na stylowym, ale nie za drogim rozwiązaniu. Zastanawiam się nad opcją napinaną, ale ważne, aby montaż ...
Druk 3d z metalu Druk 3D z metalu (DMLS/SLM) daje wytrzymałość porównywalną z tradycyjnymi metodami, czasem lepszą przez możliwość optymalizacji struktury wewnętrznej. Ograniczenia to głównie ...
zobacz wszystkie wpisy
REKLAMA
AUTOMATYKA PRZEMYSŁOWA EFEKTYWNOŚĆ ENERGETYCZNA ELEKTROENERGETYKA ELEKTRONIKA ENERGETYKA ENERGETYKA JĄDROWA FOTOWOLTAIKA INSTALACJE ELEKTRYCZNE INTELIGENTNY DOM LED NORMY ELEKTRYCZNE OŚWIETLENIE OŚWIETLENIE LED OZE POMIARY TME TRANSFER MULTISORT ELEKTRONIK
Mapa serwisu
O nas
Prywatność
Regulamin
Zgłoś błąd
Reklama
Kontakt
Nasze serwisy:
elektrykapradnietyka.com
przegladelektryczny.pl
automatykairobotyka.pl
budowainfo.pl