Virtual Private Network

VPN powstał jako kluczowa technologia służąca osiągnięciu bezpieczeństwa transmisji danych w powszechnie dostępnej sieci internet. Jest to dowolna sieć, zbudowana w oparciu o sieć publiczną, podzielona w taki sposób, aby mogli z niej korzystać indywidualni klienci. Zgodnie z powyższym twierdzeniem za sieci wirtualne uważa się również sieci Frame Relay, X.25 i ATM. Ciekawszym rozwiązaniem są sieci VPN wyższego poziomu budowane w oparciu o




Geneza VPN

Zanim dostęp do sieci internet stał się łatwy i tani, duże przedsiębiorstwa wydawały majątek na tworzenie prywatnych rozwiązań sieciowych przy użyciu usług telekomunikacyjnych takich jak linie dzierżawione, Frame Relay, czy Asynchronous Transfer Mode (ATM) aby połączyć w sieci korporacyjnej geograficznie rozrzucone siedziby. Małe oddziały, czy użytkownicy komputerów przenośnych korzystali także z powolnych połączeń zestawianych (analogowe lub ISDN).

Wraz ze wzrostem popularności internetu dostawcy usług interetowych zaczeli oferować coraz szybszy dostęp do sieci, co przy jednocześnie malejącym koszcie stało się alternatywą do odciążenia kosztownych i mało wydajnych rozwiązań WAN opartych na liniach dzierżawionych i przeniesienie obciążenia na sieć publiczną internet.

Przy dużej wydajności oraz niskich kosztach obsługi internet pozostawiał tylko jedno wyzwanie - bezpieczeństwo.




Nie tylko Firewall

Firewall stanowi poważny element bezpieczeństwa dla wszystkich korzystających z dostępu do internetu. Firewall chroni przed próbami nieuprawnionego dostępu z zewnątrz. Niemniej jednak, kiedy pakiety z naszej sieci przechodzą przez firewall do sieci internet ważne dane takie jak adresy sieciowe, nazwy użytkowników czy hasła , dane finansowe czy osobowe stają się dostępne dla hackerów. Firewall nie stanowi żadnej ochrony dla danych znajdujących się w internecie. Tutaj jest właśnie miejsce dla Wirtualnych Sieci Prywatnych (VPN).

Idea VPN jest prosta - jest to możliwość wykorzystania publicznie dostępnego internetu w taki sposób, jakby to była sieć prywatna. Aby to osiągnąć, użytkownicy szyfrują swoje dane i ukrywają swoje adresy oraz adresy docelowe. Zaszyfrowana transmisja tworzy bezpieczny "tunel" w powszechnie dostępnej sieci internet. Na każdym końcu "tunelu" musi znajdować się urządzenie lub oprogramowanie pozwalające zainicjować, utrzymywać oraz terminować tunel. Dodatkowo, oprócz szyfrowania VPN powinien także pozwalać na autentykację danych oraz użytkowników.




Virtual Private Network-technologie

VPN w zasadzie jest to technologia pozwalająca w bezpieczny sposób przesyłać dane w publicznej sieci internet. Podstawę technologii VPN stanowią następujące koncepcje: Enkapsulacja i szyfrowanie

nagłówek IP inne nagłówki dane użytkownika

Powyższy schemat przedstawia ogólną strukturę pakietu TCP/IP. Każdy fragment pakietu zawiera ważne informacje, które przesyłane w otwarty sposób w sieci internet stanowią źródło informacji dla wszytkich, którzy chcą tę informację odczytać i wykorzystać w złych lub dobrych zamiarach.




Nagłówek IP: między innymi zawiera informacje takie jak adres źródłowy i docelowy pakietu. Przejmując te informacje hacker uzyskuje informacje o adresie serwera i może podjąć próby nieautoryzowanej komunikacji z tym serwerem. Przejmując adres sieciowy użuytkownika może on także próbować podszywać się pod tego użytkownika w komunikacji z serwerem. Można oczywiści zaszyfrować nagłówek, ale oznacza to jednocześnie zablokowanie komunikacji, jako że routery pracujące w sieci internet wymagają tych adresów, aby odpowiednio skierować pakiet.

Rozwiązanie: Tunelowanie: zaszyfrowany nagłówek IP jest zawarty w innym nagłówku - uruchomiony jest tryb tunelowania IP Security (IPSec).

Szyfrowana zawartość

Nagłówek IP Nagłówek IPSec TCP/UDP...

 

Szyfrowana zawartość

Nagłówek IP Nagłówek IPSec Nagłówek IP zewn. TCP/UDP...

 

Oczywiście ten sam protokół może działać także w sieciach LAN nawet przy urządzeniach nie obsługujących zabezpieczeń transmisji. Pracuje on wtedy w trybie transportowym.




Inne nagłówki i dane użytkownika zawierają nie tylko informacje firmy, ale także identyfikatory użytkownika, hasła, etc. Dlatego też istnieje konieczność szyfrowania pakiet przesyłanych w sieci publicznej.

VPN zapewnia zachowanie prywatności przez zastosowanie szyfrowania. Informacja opuszczająca sieć LAN jest szyfrowana w Gateway'u VPN i deszyfrowana przy wejściu do sieci docelowej LAN przez VPN Gateway. Obecnie gdy większość algorytmów szyfrujących jest publicznie dostępna trudność złamania szyfru zależy wyłącznie od wielkości klucza zastosowanego do szyfrowania informacji.




Istnieją cztery główne sposoby użytkowania Wirtualnych Sieci Prywatnych:

  1. Połączenie pomiędzy różnymi współpracującymi ze sobą firmami
  2. Połączenie oddalonych od siebie oddziałów tej samej firmy
  3. Połączenie pomiędzy zdalnym użytkownikiem, znajdującym się w dowolnym miejscu z dostępem do internetu, a firmą macierzystą
  4. Połączenia wewnątrz siedziby firmy umożliwiające transfer danych, przykładowo pomiędzy pokojem dyrekcji i działem księgowości

Proces tworzenia połączenia

VPN Systemy VPN pozwalają na bezpieczną komunikację pomiędzy rozproszonymi sieciami prywatnymi poprzez sieci publiczne. Transmitowana informacja jest szyfrowana.

Przebieg procesu jest następujący



Aby stworzyć tunel wirtualny trzeba zapewnić cztery mechanizmy :

  1. Szyfrowanie
  2. Uwierzytelnianie
  3. Tunelowanie( enkapsulacja )
  4. Certyfikat cyfrowy

Cyfrowych certyfikatów używa się do oznaczenia przynależności tunelu do bezpiecznej prywatnej sieci wirtualnej . Enkapsulacja powoduje podzielenie informacji i dostosowanie jej do rodzaju przesyłanej sieci. Uwierzytelnianie daje możliwość odbiorcy sprawdzenia autentyczności danych. Szyfrowanie daje gwarancje poufności danych przesyłanych przez internet.

 



Sieci VPN budowane są w celu stworzenia bezpiecznych łączy w sieciach prywatnych na całej drodze transmisyjnej (end - to - end) przy wykorzystaniu publicznej infrastruktury sieciowej. Sieci VPN maja dwojakie zastosowanie: w połączeniach typu od lokalizacji do lokalizacji (site - to - site) lub przy połączeniach typu zdalny dostęp (remote access). Zasadę działania VPN'ów można porównać do opancerzonych samochodów pozwalających na bezpieczne przesyłanie danych pomiędzy dwoma lub więcej lokalizacjami poprzez siec publiczną.

Sieci VPN mogą być alternatywą dla infrastruktury WAN, ale mogą też stanowić rozszerzenie istniejących sieci WAN, które wykorzystują linie dzierżawione, standardy Frame Relay lub ATM, do łączenia oddalonych geograficznie oddziałów.

Sieci VPN spełniają wymogi sieci WAN takie jak obsługa kilku protokołów, niezawodność, wysoka skalowalność w sposób tańszy i bardziej elastyczny niż standardowe sieci WAN, wykorzystują najnowsze technologie przesyłu dostępne na rynku takie jak Internet lub sieci IP oferowane przez providerów. Wykorzystują tunelowanie oraz szyfrowanie w celu zapewnienia bezpieczeństwa danych oraz Quality of Service dla niezawodności przesyłu.





Do najważniejszych rozwiązań w ramach VPN należą:
Sieci VPN najlepiej jest budować w oparciu o routery Cisco optymalizowane do budowy takich sieci.

Sieci VPN dają możliwość taniego udoskonalenia przestarzałych sieci analogowych o małej przepustowości. Przejście na VPN umożliwia dostęp do Internetu i aplikacji internetowych z różnych lokalizacji. Ponadto sieci VPN tanio i bezpiecznie rozszerzają sieć WAN do nie połączonych dotychczas oddziałów, nawet tych zagranicznych, oddalonych geograficznie biur i partnerów biznesowych (ekstranet).

VPN - Virtual Private Network (wirtualna sieć prywatna)

Wirtualna sieć prywatna to sieć kanałów dwukierunkowej transmisji danych, tworzonych na bazie sieci publicznej, otwieranych na czas transferu danych pomiędzy stacjami sieci prywatnych, poprzez które odbywa się przesyłanie informacji w formie zaszyfrowanej.



Wiele systemów ma możliwość konstrukcji VPN, opartych na metodach szyfrowania transmisji danych. Oznacza to, że można utworzyć swoją sieć prywatną na bazie publicznych mediów takich jak Internet. Pozwala to łatwo połączyć odległe oddziały firmy w jedną bezpieczną sieć. Niekiedy istnieje możliwość kodowania tylko niektórych typów usług (jak np. telnet) pozostawiając inne w normalnej postaci, co pozwala utrzymać efektywność całego systemu. Sieci lokalne korzystają jednak często z innych protokołów sieciowych niż sieci rozległe. Pojawia się więc problem z połączeniem sieci lokalnych w sieć wirtualną. Wtedy to wykorzystuje się tunelowanie. Jest to kolejny sposób użycia tunelowania poza podstawowym zastosowaniem jakim jest zapewnienie bezpieczeństwa.

Tunelowanie polega na wykorzystaniu istniejącej publicznej infrastruktury sieciowej do przesyłania danych z jednej prywatnej sieci do drugiej. Na tunelowanie składa się kilka procesów. Są to: enkapsulacja, transmisja oraz proces odwrotny do enkapsulacji. Ogólnie mówiąc, proces enkapsulacji polega na dopisaniu odpowiednich nagłówków do oryginalnych pakietów. Logiczna droga, jaką pokonują enkapsulowane pakiety, zwana jest tunelem. Po dotarciu do punktu przeznaczenia oryginalne ramki są "oczyszczane" z dodatkowego nagłówka i przekazywane do miejsca przeznaczenia.

Generalnie można stwierdzić, iż tunelowanie umożliwia przesyłanie pewnych usług sieciowych za pośrednictwem innych, często odmiennych usług sieci, pracujących w różnych standardach.

5.4.3.Odbiór poczty

Standardowo klient POP3 łączy się z przydzielonym dla tej usługi portem 110 serwera. Tunelując utworzymy szyfrowane połączenie między portem TCP na lokalnej maszynie a portem serwera. W rezultacie zapis i odczyt z lokalnego portu będzie wykonywany na serwerze a wszystkie przesyłane dane zostaną zabezpieczone. W tym przypadku bezpieczne połączenie otrzymujemy tworząc tunel z portu lokalnego 110 do portu na serwerze:

# ssh -f -L 110:mailsvr:110 -C -c rc4 mailserv

a następnie wskazując klientowi POP3 nasz system jako serwer:

popmail localhost radzio

Argumenty podawane programowi ssh mają następujące znaczenie:

Czytanie logów systemowych nie należy do najprzyjemniejszych czynności, więc wygodnie jest utworzyć skrypty "wyłuskujące" interesujące informacje z konkretnych plików z katalogu /var/log/ lub korzystać z innych programów, które zajmują się analizą logów. Dzięki informacjom, które system zapisuje w /var/log/secure można się o dowiedzieć o tym, kto penetrował system lub zidentyfikować włamywacza. Oczywiste jest, że po skończeniu swojej roboty postara się on skasować zawartość wspomnianego pliku, dlatego też należy zadbać o to, by dane w nim zapisane były automatycznie przekazywane do innego pliku lub urządzenia.

W sieci dostępnych jest kilka programów, które wspomagają monitorowanie, poprawiają bezpieczeństwo lub otaczają system opieką. Warto skorzystać z takich narzędzi, jak np. pakiet Tripwire, którego działanie polega na odwzorowaniu systemu plików i przypisaniu do nich cyfrowych sygnatur, których później można użyć do wykrycia, czy nie zostały zamienione jakieś ważne pliki.