VPN (Virtual Private Network) to technologia pozwalająca na tworzenie bezpiecznych wirtualnych połączeń pomiędzy sieciami bądź pojedynczymi komputerami, przy użyciu niekontrolowanych przez właściciela tunelu VPN sieci IP, takich jak Internet. Kanał taki może zapewniać szyfrowanie, autoryzację i kompresję. Istnieją dwa praktyczne zastosowania tej technologii. Pierwszym z nich jest spięcie ze sobą dwóch lub więcej (na przykład tysiąca) lokalizacji, czyli połączenie VPN site-to-site. Do tego celu wykorzystamy zapewne opisane w dalszej części artykułu technologie IPSec lub TRUE SSL VPN. W takim przypadku decydującym czynnikiem przy wyborze technologii lub producenta powinny być dwa aspekty: znajomość/prostota konfiguracji oraz możliwość monitoringu statusu urządzeń.
Dlaczego? Odpowiedź na to pytanie jest prosta i chociaż każdy z nas w głębi duszy ją zna, często o niej zapominamy przy wyborze sprzętu. Otóż nawet najdroższy i najbardziej zaawansowany sprzęt na nic się nie przyda, jeśli nie będziemy w stanie go poprawnie skonfigurować, a po konfiguracji monitorować jego stanu. Przy połączeniu dwóch lokalizacji, monitoring nie ma jakiegoś kolosalnego znaczenia. Zawsze możemy codziennie rano logować się do dwóch urządzeń i przeglądać sobie jego status, logi itp. Zakładam, że może to zająć około 15 minut. Co, jeśli będziemy mieli pięć lokalizacji? Wtedy rachunek wyglądać będzie następująco: 15 minut x 5 w sumie daje 1 godzinę i 15 minut. Czy ktokolwiek jest w stanie poświęcić tyle czasu codziennie rano na sprawdzanie statusu wszystkich urządzeń? A co ze zdarzeniami, które mają miejsce w nocy? O nich raczej też powinniśmy być powiadamiani i to niezwłocznie po ich wystąpieniu. Analogicznie wygląda sprawa konfiguracji. Co nam przyjdzie z faktu wykrycia awarii lub własnej pomyłki w trakcie konfiguracji, jeśli nie będziemy potrafili jej usunąć?
Kolejnym powodem zastosowania technologii VPN jest umożliwienie pracownikom bezpiecznego dostępu do sieci firmowej, czyli połączenia VPN client-to-site. Do stworzenia bezpiecznego połączenia klienta mobilnego z siedzibą firmy można wykorzystać kilka technologii oprócz wymienionych IPSec i TRUE SSL VPN. Metodami, z których można skorzystać są:
- PPTP,
- SSL VPN web access,
- Tunele ssh,
- Szyfrowane połączenia terminalowe.
Na co powinniśmy zwrócić uwagę przy wyborze technologii VPN dla użytkowników? Wszystkie cechy sprawnego połączenia VPN site-to-site powinny być uwzględniane również przy wyborze technologii dla połączeń client-to-site. Warto wziąć pod uwagę bardzo istotną cechę jaką jest ogólnie pojęta wygoda użytkowania przez osoby nie będące informatykami.
Wystarczy wziąć pod lupę połączenie za pomocą tunelu IPSec, opisanego dokładniej w dalszej części artykułu. W standardzie składa się on między innymi z protokołu ESP, który może nie być przepuszczany przez niektóre routery, na przykład w hotelach. Proszę sobie teraz wyobrazić własnego szefa, który będąc w delegacji, nie może połączyć się z firmową siecią podczas ważnej konferencji. Oczywiście według szefa będzie to wina administratora, nawet jeśli brak połączenia wynika z konfiguracji firewalla w hotelu.
Dlatego też, decydując się na rozwiązanie VPN, które ma służyć jako punkt wejścia do sieci firmowej, powinniśmy zwrócić uwagę na następujące czynniki:
- Łatwość obsługi klienta VPN,
- Odporność na awarie (również te powodowane przez użytkownika),
- Zdalne zarządzanie klientem,
- Bezpieczeństwo (także zabezpieczenie przed ingerencją użytkownika).
Technologie VPN – PPTP
Najprostszym i chyba najstarszym sposobem "bezpiecznego" podłączenia klienta mobilnego do sieci LAN (VPN client-to-site) jest zastosowanie połączenia PPTP, czyli "Windowsowego VPN" uruchamianego za pomocą opcji "Połącz z siecią w miejscu pracy". Technologia ta, podobnie jak IPSec, to połączenie różnych protokołów:
- PPTP - pierwsze połączenie za pomocą protokołu TCP inicjujące tunel,
- GRE - tunel właściwy, w którym przesyłane są dane.
Pomimo tego, że jest to zwykle tunel najprostszy do skonfigurowania, zarówno po stronie klienta, jak i serwera, zdecydowanie nie zaleca się już stosowania go, ze względu na niski poziom bezpieczeństwa. Ciekawostką jest, że informacja na ten temat znalazła się już nawet w angielskiej Wikipedii: PPTP has been the subject of many security analyses and serious security vulnerabilities have been found in the protocol. Innymi słowy protokół nie jest zalecany w żadnym wypadku.
Przykładowa konfiguracja w urządzeniu NETASQ UTM
W urządzeniu NETASQ UTM połączenia PPTP są najprostszym typem tuneli VPN do skonfigurowania. Całość ustawień, którą administrator musi zmodyfikować jest zgromadzona w małym oknie przedstawionym poniżej.
Technologie VPN – SSL VPN
Jako kompromis pomiędzy elastycznością (bo przecież nasz szef musi mieć zawsze dostęp do wszystkich danych), a bezpieczeństwem, stworzono SSL VPN. Koncepcja była idealna. Klient, który próbuje uzyskać dostęp od strony Internetu do wewnętrznych zasobów, na przykład intranetowej strony ERP, najpierw łączy się z koncentratorem SSL VPN. Tam uwierzytelnia się i dopiero za pośrednictwem koncentratora SSL VPN dostaje dostęp do wewnętrznych zasobów firmy. Takie rozwiązanie na pierwszy rzut oka wydawało się idealne z powodu braku konieczności konfigurowania czegokolwiek po stronie klienta oraz możliwości kontroli dostępu do zasobów wewnętrznych. Okazało się jednak, że administrator kosztem elastyczności traci możliwości jakiejkolwiek kontroli stanu komputera klienckiego. Każdy komputer jest wyposażony w przeglądarkę internetową i zwykle każda z nich jest wystarczająca do ustanowienia połączenia z koncentratorem VPN. Jeśli każdy komputer może to zrobić, to zapewne znajdą się wśród nich także takie, które będą zainfekowane i przechwycą dane logowania użytkowników SSL VPN.
Technologie SSL VPN można podzielić na trzy umowne rodzaje:
- WEB Access (Reverse Proxy)
- Full Accesss (Port Redirect)
- True SSL VPN (Open VPN, TINA)
Web Access
Web Access to najprostsza metoda zabezpieczania dostępu do witryn www. Polega ona na pośredniczeniu w dostępie do wewnętrznej witryny www poprzez VPN. Typowy scenariusz to zabezpieczenie dostępu witryny Outlook Web Access. Witryna Exchange OWA jest dostępna w sieci LAN pod lokalnym adresem, za pośrednictwem nieszyfrowanego http, na przykład http://firma.lokalna/exchange. Administrator nie posiadając rozwiązania SSL VPN, a chcąc w prosty sposób udostępnić taką witrynę może to zrobić jedynie za pomocą zwykłego przekierowania portów na swojej bramie pocztowej (destination NAT). Wadą takiego rozwiązania, jest umożliwienie dostępu serwisu i całej jego zawartości od strony sieci WAN, a więc największego skupiska ludzi, którzy bądź to dla zabawy, bądź to dla treningu lub też z chęci zysku będą próbowali uzyskać dostęp do serwera poczty. Stosując rozwiązanie SSL VPN możemy skonfigurować je w taki sposób, aby pośredniczyło ono w dostępie do naszej poczty. W praktyce wygląda to tak, że klient, który chce od strony Internetu uzyskać dostęp do poczty za pomocą OWA, najpierw loguje się na stronie SSL VPN, dostępnej pod przykładowym adresem https://vpn.firma.pl (proszę zwrócić uwagę, że strona SSL VPN, w przeciwieństwie do OWA, jest dostępna za pośrednictwem protokołu szyfrowanego HTTPS). Tam użytkownik uwierzytelnia się w odpowiedni sposób. Producenci w różny sposób umożliwiają uwierzytelnianie. Od najprostszego, wymagającego jedynie podania loginu oraz hasła w formularzu internetowym, aż po uwierzytelnianie za pomocą certyfikatu czy haseł jednorazowych RSA secure ID. Dopiero po uwierzytelnieniu sieciowym w przeglądarce, w naszym "tunelu" pojawi się docelowa wewnętrzna strona OWA. W ten sposób SSL VPN staje się pewnego rodzaju śluzą dla połączeń ze strony Internetu.
Należy tutaj dodać, że w nowoczesnych rozwiązaniach SSL VPN, dzięki różnym apletom JAVY czy ActiveX, tego typu funkcjonalność nie dotyczy jedynie wewnętrznych serwerów HTTP, ale na przykład SSH i RDP. W takim wypadku, po nawiązaniu połączenia z docelowym serwerem RDP, przeglądarka staje się niezależnym klientem terminalowym, mogącym działać bez pomocy narzędzi wbudowanych w systemy Microsoftu.
Full Access
Metoda Full Access polega na przekierowaniu odpowiednich portów z adresu localhost komputera inicjującego tunel SSL VPN do docelowego komputera po drugiej stronie tunelu. Metoda ta pozwala na bezpieczny dostęp do wszystkich usług używających protokołów TCP/UDP.
Przykładowa konfiguracja w urządzeniu NETASQ UTM
Poniższy rysunek przedstawia przykład konfiguracji połączenia RDP przeprowadzanego z dowolnego hosta w Internecie za pośrednictwem tunelu SSL VPN do serwera Microsoft Terminal Server.
True SSL VPN
True SSL VPN pozwala na zestawienie tunelu VPN przypominającego zwykły tunel IPSec. Do zestawienia takiego tunelu potrzebujemy specjalnego klienta zainstalowanego na mobilnym komputerze. Wielką zaletą takiego rozwiązania jest możliwość uzyskania pełnego dostępu klienta do sieci LAN. Jedyne ograniczenia w dostępie mogą wynikać z konfiguracji wprowadzonej przez administratora, a nie z ułomności protokołu. Administrator będzie mógł zatem udzielić użytkownikom dostęp do dowolnej usługi w sieci LAN, na przykład do przeglądania zasobów sieciowych z poziomu systemu operacyjnego, czego za pomocą Web Access czy Full Access nie da się zrobić. Natomiast różnica pomiędzy True SSL VPN, a IPSec, to przede wszystkim prostsza konfiguracja oraz dużo większa odporność na błędy administratora czy "warunki środowiska", w którym przychodzi mu pracować. Chodzi o możliwości bezproblemowego działania w środowiskach natowanych. Od dawna wiadomo, że częstym problemem dla IPSec jest przejście przez różnego rodzaju natujące routery, dlatego został stworzony mechanizm IPSec NAT Traversal. Takie dodatki nie są potrzebne, gdy stosujemy tunelowanie przy użyciu HTTPS, ponieważ praktycznie każdy router radzi sobie z tym protokołem, a każdy firewall przepuszcza ten szyfrowany ruch. Na ogół dostęp do stron internetowych za pomocą HTTPS jest możliwy, chociażby po to, aby umożliwić użytkownikom wejście na szyfrowane strony banków internetowych.
Technologie VPN – IPSec
Najbardziej popularnym sposobem na zapewnienie bezpiecznej transmisji danych jest korzystanie z zestawu protokołów zwanych IPSec, czyli Internet Protocol Security. Protokoły, które wchodzą w skład IPSec to:
- Internet key exchange (IKE oraz IKEv2),
- Authentication Header (AH),
- Encapsulating Security Payload (ESP).
Podstawowym celem przyświecającym autorom IPSec było zapewnienie integralności oraz poufności przesyłanych za pomocą IP danych.
Każdy z tych protokołów został stworzony w innym celu i każdy z nich daje określone możliwości całemu IPSec. Dla przykładu: IKE jest odpowiedzialny między innymi za stworzenie tak zwanego Security Association (SA), które charakteryzują następujące elementy:
- Identyfikator używanego protokołu bezpieczeństwa,
- Źródłowy i docelowy adres IP połączenia,
- 32-bitowa liczba identyfikująca połączenie, określana mianem SPI.
Niewątpliwą zaletą takiej "modularności" pakietu IPSec, jest możliwość jego stosunkowo łatwej modernizacji czy rozbudowy, związanej chociażby z kryptografią. Jeśli za kilka lat okaże się, że algorytm AES zostanie złamany, nie będzie to wcale oznaczać końca całego IPSeca. Jako że AES jest tylko jednym z "wymiennych modułów" IPSec, zostanie on w prosty sposób zastąpiony przez swojego następcę. Ta sama „modularność” może jednak stać się również dla administratora utrapieniem. Do poprawnego działania szyfrowanej transmisji potrzebnych jest wiele elementów, których sposób konfiguracji jest mniej lub bardziej skomplikowany. Złożoność IPSec może również prowadzić do braku działania całej wirtualnej sieci prywatnej.
Od czasów powstania IPSec, prowadzone są próby usprawnienia tego protokół poprzez dodanie do niego nowych funkcjonalności. Przykładem takiego ulepszenia jest możliwość korzystania z IPSec w sieciach natowanych dzięki technologii IPSec NAT Traversal. Niestety, aby wykorzystać taki mechanizm, routery muszą go obsługiwać, a zanim to zrobią muszą zostać skonfigurowane i uruchomione.
Przykładowa konfiguracja w urządzeniu NETASQ UTM
Aplikacja do zarządzania urządzeniem NETASQ UTM standardowo wyposażona jest w kreator pozwalający na łatwe tworzenie i konfigurowanie tuneli VPN IPSec pomiędzy dwiema lub więcej bramami IPSec. Dzięki niemu, nawet bez konieczności posiadania specjalistycznej wiedzy z zakresu sieci komputerowych, można samemu stworzyć bezpieczne połączenie pomiędzy wieloma lokalizacjami tej samej firmy. Oczywiście aplikacja do zarządzania NETASQ daje też możliwość korzystania z zaawansowanych opcji szczegółowej konfiguracji już po stworzeniu tuneli.
Podsumowanie
Przy wyborze systemu do obsługi tuneli VPN dla średniej wielkości firmy, nie należy kierować się jedynie marketingowymi informacjami podawanymi przez producenta, jak chociażby tymi, które dotyczą przepustowości tuneli VPN. Dlaczego? Producenci zwykle podają nawet w najmniejszych modelach ogromne wartości. A przepustowości takich na ogół przeciętna firma nigdy nie wykorzysta. Należy raczej sprawdzić czy interfejs jest wystarczająco przejrzysty, a także czy klient VPN poradzi sobie z zestawieniem tunelu do firmy, kiedy laptop szefa będzie jednocześnie połączony z Internetem za pomocą UMTS oraz hotelowej sieci WI-FI. Ważne będzie również, czy po awarii systemu VPN, będziemy w stanie sprawdzić w logach, co było jej przyczyną. Dokonując wyboru rozwiązania należy zwrócić uwagę nie tylko na funkcjonalności, o których mówi sprzedawca, ale przede wszystkim na te, na których nam zależy.