Virtual Private Network

Geneza VPN

Wraz ze wzrostem popularności internetu dostawcy usług interetowych zaczeli oferować coraz szybszy dostęp do sieci, co przy jednocześnie malejącym koszcie stało się alternatywą do odciążenia kosztownych i mało wydajnych rozwiązań WAN opartych na liniach dzierżawionych i przeniesienie obciążenia na sieć publiczną internet.

Przy dużej wydajności oraz niskich kosztach obsługi internet pozostawiał tylko jedno wyzwanie - bezpieczeństwo.

Nie tylko Firewall

Idea VPN jest prosta - jest to możliwość wykorzystania publicznie dostępnego internetu w taki sposób, jakby to była sieć prywatna. Aby to osiągnąć, użytkownicy szyfrują swoje dane i ukrywają swoje adresy oraz adresy docelowe. Zaszyfrowana transmisja tworzy bezpieczny "tunel" w powszechnie dostępnej sieci internet. Na każdym końcu "tunelu" musi znajdować się urządzenie lub oprogramowanie pozwalające zainicjować, utrzymywać oraz terminować tunel. Dodatkowo, oprócz szyfrowania VPN powinien także pozwalać na autentykację danych oraz użytkowników.

Virtual Private Network-technologie

• Enkapsulacja ("tunelowanie")
• Szyfrowanie
• Autentykacja

nagłówek IP

inne nagłówki

dane użytkownika

Powyższy schemat przedstawia ogólną strukturę pakietu TCP/IP. Każdy fragment pakietu zawiera ważne informacje, które przesyłane w otwarty sposób w sieci internet stanowią źródło informacji dla wszytkich, którzy chcą tę informację odczytać i wykorzystać w złych lub dobrych zamiarach.

Nagłówek IP: między innymi zawiera informacje takie jak adres źródłowy i docelowy pakietu. Przejmując te informacje hacker uzyskuje informacje o adresie serwera i może podjąć próby nieautoryzowanej komunikacji z tym serwerem. Przejmując adres sieciowy użuytkownika może on także próbować podszywać się pod tego użytkownika w komunikacji z serwerem. Można oczywiści zaszyfrować nagłówek, ale oznacza to jednocześnie zablokowanie komunikacji, jako że routery pracujące w sieci internet wymagają tych adresów, aby odpowiednio skierować pakiet.

Rozwiązanie: Tunelowanie: zaszyfrowany nagłówek IP jest zawarty w innym nagłówku - uruchomiony jest tryb tunelowania IP Security (IPSec).

• Metoda transportowa:

• Metoda tunelowa:

Oczywiście ten sam protokół może działać także w sieciach LAN nawet przy urządzeniach nie obsługujących zabezpieczeń transmisji. Pracuje on wtedy w trybie transportowym.

Inne nagłówki i dane użytkownika zawierają nie tylko informacje firmy, ale także identyfikatory użytkownika, hasła, etc. Dlatego też istnieje konieczność szyfrowania pakiet przesyłanych w sieci publicznej.

VPN zapewnia zachowanie prywatności przez zastosowanie szyfrowania. Informacja opuszczająca sieć LAN jest szyfrowana w Gateway'u VPN i deszyfrowana przy wejściu do sieci docelowej LAN przez VPN Gateway. Obecnie gdy większość algorytmów szyfrujących jest publicznie dostępna trudność złamania szyfru zależy wyłącznie od wielkości klucza zastosowanego do szyfrowania informacji.

Istnieją cztery główne sposoby użytkowania Wirtualnych Sieci Prywatnych:

1. Połączenie pomiędzy różnymi współpracującymi ze sobą firmami
2. Połączenie oddalonych od siebie oddziałów tej samej firmy
3. Połączenie pomiędzy zdalnym użytkownikiem, znajdującym się w dowolnym miejscu z dostępem do internetu, a firmą macierzystą
4. Połączenia wewnątrz siedziby firmy umożliwiające transfer danych, przykładowo pomiędzy pokojem dyrekcji i działem księgowości

Proces tworzenia połączenia

VPN Systemy VPN pozwalają na bezpieczną komunikację pomiędzy rozproszonymi sieciami prywatnymi poprzez sieci publiczne. Transmitowana informacja jest szyfrowana.

Przebieg procesu jest następujący

• Chroniona stacja wysyła dane do urządzenia VPN( brama VPN) umieszczonego na styku z siecią publiczną
  
• Brama VPN sprawdza zgodność danych z regułami ustalonymi przez zarządcę sieci, zabezpiecza informacje jeżeli dane mają być wysłane w połączeniu VPN lub przepuszcza je niezmienione
  
• Gdy jest konieczna ochrona danych, to urządzenie źródłowe szyfruje dane oraz dodaje sygnaturę uwierzytelniającą do całego pakietu włącznie z adresami IP nadawcy i odbiorcy. Spowoduje to stworzenie nowego pakietu danych do odczytania którego zdolny będzie tylko odbiorca.
  
• Następnie dodaje nowy nagłówek zawierający informacje, że od urządzenia końcowego wymagane są funkcje bezpieczeństwa
  
• Zaszyfrowany i podpisany pakiet jest enkapsulowany z adresem IP urządzenia końcowego. Wynikiem tych działań jest stworzenie wirtualnego tunelu poprzez sieć publiczną
  
• Gdy dane dotrą do urządzenia końcowego zostają zdekapsulowane, sprawdzany jest podpis cyfrowy i dane zostają odszyfrowane
  

Aby stworzyć tunel wirtualny trzeba zapewnić cztery mechanizmy :

1. Szyfrowanie
2. Uwierzytelnianie
3. Tunelowanie( enkapsulacja )
4. Certyfikat cyfrowy
   

Cyfrowych certyfikatów używa się do oznaczenia przynależności tunelu do bezpiecznej prywatnej sieci wirtualnej . Enkapsulacja powoduje podzielenie informacji i dostosowanie jej do rodzaju przesyłanej sieci. Uwierzytelnianie daje możliwość odbiorcy sprawdzenia autentyczności danych. Szyfrowanie daje gwarancje poufności danych przesyłanych przez internet.

 

Sieci VPN budowane są w celu stworzenia bezpiecznych łączy w sieciach prywatnych na całej drodze transmisyjnej (end - to - end) przy wykorzystaniu publicznej infrastruktury sieciowej. Sieci VPN maja dwojakie zastosowanie: w połączeniach typu od lokalizacji do lokalizacji (site - to - site) lub przy połączeniach typu zdalny dostęp (remote access). Zasadę działania VPN'ów można porównać do opancerzonych samochodów pozwalających na bezpieczne przesyłanie danych pomiędzy dwoma lub więcej lokalizacjami poprzez siec publiczną.

Sieci VPN mogą być alternatywą dla infrastruktury WAN, ale mogą też stanowić rozszerzenie istniejących sieci WAN, które wykorzystują linie dzierżawione, standardy Frame Relay lub ATM, do łączenia oddalonych geograficznie oddziałów.

Sieci VPN spełniają wymogi sieci WAN takie jak obsługa kilku protokołów, niezawodność, wysoka skalowalność w sposób tańszy i bardziej elastyczny niż standardowe sieci WAN, wykorzystują najnowsze technologie przesyłu dostępne na rynku takie jak Internet lub sieci IP oferowane przez providerów. Wykorzystują tunelowanie oraz szyfrowanie w celu zapewnienia bezpieczeństwa danych oraz Quality of Service dla niezawodności przesyłu.

Do najważniejszych rozwiązań w ramach VPN należą:

• obsługa tunelowania i szyfrowania przy użyciu standardowych protokołów takich jak Internet Protocol Security (IPSec) oraz Digital Encryption Standard 3 (3DES)
  
• zwiekszone bezpieczeństwo na brzegach VPN, łącznie z urządzeniem firewall i detekcja włamania dostarczana przez oprogramowanie Cisco IOS,
  
• system QoS obsługujący aplikacje i zarządzanie przepływnością dla zapewnienia niezawodnego przesyłu w sieci VPN
  
• całkowite routowanie w warstwie 3 łącznie z zewnętrznymi protokołami BGP w celu dostępu poprzez Internet VPN
  

Sieci VPN najlepiej jest budować w oparciu o routery Cisco optymalizowane do budowy takich sieci.

Sieci VPN dają możliwość taniego udoskonalenia przestarzałych sieci analogowych o małej przepustowości. Przejście na VPN umożliwia dostęp do Internetu i aplikacji internetowych z różnych lokalizacji. Ponadto sieci VPN tanio i bezpiecznie rozszerzają sieć WAN do nie połączonych dotychczas oddziałów, nawet tych zagranicznych, oddalonych geograficznie biur i partnerów biznesowych (ekstranet).

VPN - Virtual Private Network (wirtualna sieć prywatna)

Wirtualna sieć prywatna to sieć kanałów dwukierunkowej transmisji danych, tworzonych na bazie sieci publicznej, otwieranych na czas transferu danych pomiędzy stacjami sieci prywatnych, poprzez które odbywa się przesyłanie informacji w formie zaszyfrowanej.

Wiele systemów ma możliwość konstrukcji VPN, opartych na metodach szyfrowania transmisji danych. Oznacza to, że można utworzyć swoją sieć prywatną na bazie publicznych mediów takich jak Internet. Pozwala to łatwo połączyć odległe oddziały firmy w jedną bezpieczną sieć. Niekiedy istnieje możliwość kodowania tylko niektórych typów usług (jak np. telnet) pozostawiając inne w normalnej postaci, co pozwala utrzymać efektywność całego systemu. Sieci lokalne korzystają jednak często z innych protokołów sieciowych niż sieci rozległe. Pojawia się więc problem z połączeniem sieci lokalnych w sieć wirtualną. Wtedy to wykorzystuje się tunelowanie. Jest to kolejny sposób użycia tunelowania poza podstawowym zastosowaniem jakim jest zapewnienie bezpieczeństwa.

Tunelowanie polega na wykorzystaniu istniejącej publicznej infrastruktury sieciowej do przesyłania danych z jednej prywatnej sieci do drugiej. Na tunelowanie składa się kilka procesów. Są to: enkapsulacja, transmisja oraz proces odwrotny do enkapsulacji. Ogólnie mówiąc, proces enkapsulacji polega na dopisaniu odpowiednich nagłówków do oryginalnych pakietów. Logiczna droga, jaką pokonują enkapsulowane pakiety, zwana jest tunelem. Po dotarciu do punktu przeznaczenia oryginalne ramki są "oczyszczane" z dodatkowego nagłówka i przekazywane do miejsca przeznaczenia.

Generalnie można stwierdzić, iż tunelowanie umożliwia przesyłanie pewnych usług sieciowych za pośrednictwem innych, często odmiennych usług sieci, pracujących w różnych standardach.

5.4.3.Odbiór poczty

Standardowo klient POP3 łączy się z przydzielonym dla tej usługi portem 110 serwera. Tunelując utworzymy szyfrowane połączenie między portem TCP na lokalnej maszynie a portem serwera. W rezultacie zapis i odczyt z lokalnego portu będzie wykonywany na serwerze a wszystkie przesyłane dane zostaną zabezpieczone. W tym przypadku bezpieczne połączenie otrzymujemy tworząc tunel z portu lokalnego 110 do portu na serwerze:

# ssh -f -L 110:mailsvr:110 -C -c rc4 mailserv

a następnie wskazując klientowi POP3 nasz system jako serwer:

popmail localhost radzio

Argumenty podawane programowi ssh mają następujące znaczenie:

• -f po autoryzacji ssh usunie się w tło,

• -L pl:serwer:ps tworzy tunel z portu lokalnego pl do portu ps na serwerze serwer,

• -C włącza kompresję,

• -c szyfr wybór szyfru, rc4 jest najsłabszym za to najszybszym.

• Monitorowanie (przeglądanie logów)

Czytanie logów systemowych nie należy do najprzyjemniejszych czynności, więc wygodnie jest utworzyć skrypty "wyłuskujące" interesujące informacje z konkretnych plików z katalogu /var/log/ lub korzystać z innych programów, które zajmują się analizą logów. Dzięki informacjom, które system zapisuje w /var/log/secure można się o dowiedzieć o tym, kto penetrował system lub zidentyfikować włamywacza. Oczywiste jest, że po skończeniu swojej roboty postara się on skasować zawartość wspomnianego pliku, dlatego też należy zadbać o to, by dane w nim zapisane były automatycznie przekazywane do innego pliku lub urządzenia.

W sieci dostępnych jest kilka programów, które wspomagają monitorowanie, poprawiają bezpieczeństwo lub otaczają system opieką. Warto skorzystać z takich narzędzi, jak np. pakiet Tripwire, którego działanie polega na odwzorowaniu systemu plików i przypisaniu do nich cyfrowych sygnatur, których później można użyć do wykrycia, czy nie zostały zamienione jakieś ważne pliki.