Budoucnost jménem VPN

Internet nebyl navrhován s ohledem na bezpečnost. Proto začínají v poslední době nabývat na významu virtuální priv


Internet nebyl navrhován s ohledem na bezpečnost. Proto začínají v poslední
době nabývat na významu virtuální privátní sítě.

Definice praví, že virtuální privátní síť (VPN, Virtual Private Network) je
soukromá komunikační síť použitá v rámci organizace nebo mezi několika různými
organizacemi, která umožňuje bezpečnou komunikaci v prostředí veřejné sítě.
Jinými slovy: Bezpečný provoz v rámci VPN je přenášen pomocí běžných (tedy ne
příliš bezpečných) protokolů a infrastruktury.
Sítě VPN zajišťují bezpečnost pomocí tunelových protokolů a bezpečnostních
procedur. Cílem této technologie je vytvořit stejné podmínky a minimálně
stejnou úroveň bezpečnosti jako při pronájmu nebo použití vlastních fyzických
linek ale za výrazně výhodnějších cenových podmínek. Ostatně, toto jasně
vyjadřuje slovo "virtuální" v názvu VPN, protože nejde o fyzické sítě, nýbrž o
sítě vytvořené dočasně (nebo i trvale) coby součást fyzické sítě, přičemž
virtuální sítě jsou konfigurovatelné bez nutnosti zásahu do sítě fyzické.
Mimochodem, tato technologie zažívá obrovské růstové tempo. Zatímco v roce 2004
představovaly VPN zhruba pět procent objemu síťových služeb, už v roce 2007 se
předpokládá nárůst na dvojnásobek této hodnoty.

Plusy a minusy
VPN jsou schopny zajistit bezpečnost, a to na úrovni autentizace (odmítnutí
neoprávněných uživatelů), utajení (šifrování dat) a integrity (kontrola
neporušenosti dat a odmítnutí porušených). Autentizace je realizována pomocí
certifikátů, hesel, přihlašovacích hardwarových karet, sdílených tajných klíčů
apod. Šifrování pak zajišťuje, že i když se útočník dostane k síťovému provozu,
tak nezíská přenášenou informaci. Integrita ručí za to, že data nebyla během
přenosu poškozena či modifikována (ať již s jakýmkoli úmyslem) upravená data
jsou odmítnuta.
Byť VPN v konečném důsledku zvyšuje bezpečnost při komunikaci pomocí internetu
nebo jiné nedůvěryhodné sítě, může se při špatném navržení architektury stát
ohrožením pro bezpečnost sítě lokální. Důvodem je fakt, že přenášené pakety
jsou šifrované, takže zasílaná data uvnitř tunelů nemohou být kontrolována.
Proto je nutné antivirové programy a další podobné ochranné prvky umisťovat až
za VPN bránu. Druhá možnost provoz vůbec nekontrolovat je totiž v současném
světě z mnoha důvodů nemyslitelná. Díky topologii současných sítí není možné
spoléhat na obranu perimetru, ale je nutné implementovat bezpečnostní prvky i
dovnitř sítě personální firewally, antivirové programy na stanice apod.

Výběr VPN
VPN pracují na 3. vrstvě modelu OSI (hlavním úkolem této vrstvy je směrování).
Takže všechny vrstvy nad 3. vrstvou automaticky profitují z výhod VPN. To je
rozdíl oproti jiným protokolům, jako je HTTPS, Secure IMAP, SSH nebo Socks
proxy. Výhodu VPN zkrátka přijímají všechny aplikace bez nutnosti jakékoliv
modifikace nebo bez vyžadování podpory protokolu.
V zásadě lze rozlišit 3 základní typy VPN sítí:
lDůvěryhodné ty jsou schopny udržovat integritu dat, zajišťovat ochranu před
odposlechem a zároveň garantují kvalitu. Splnění těchto podmínek je na
internetu přinejmenším obtížné, spíše však nereálné.
lBezpečné tyto sítě garantují bezpečnost pomocí šifrování, s jehož pomocí
vytvářejí bezpečné tunely. Důležité je, že jsou schopné pracovat i na
nejrozšířenější síti, na internetu.
lHybridní jedná se o smíšené sítě, které se snaží těžit z výhod obou výše
uvedených. Zpravidla se jedná o kombinaci lokálních bezpečných sítí s
důvěryhodnými sítěmi poskytovatelů.
Při výběru dodavatele VPN je třeba mít na paměti čtveřici rozhodujících
faktorů. Významnou roli hrají podporované protokoly, podporované platformy,
rychlost a v neposlední řadě cena.
Začněme u podporovaných protokolů. Nejčastěji používanými VPN protokoly jsou
IPsec (coby součást IPv6), SSL a PPTP (Point-to-Point Tunneling Protocol) od
Microsoftu. Před finálním výběrem bychom měli rozhodnout, zda VPN hodláme
používat ke spojení na úrovni LAN-LAN (tedy k propojení dvou nebo více
lokálních sítí) nebo na úrovni vzdáleného přístupu k aplikacím (například k
informačním nebo databázovým systémům).
VPN na úrovni LAN-LAN umožňuje spojit sítě pomocí WAN nebo klasického
internetového připojení. Přenášená data jsou šifrována od jednoho VPN zařízení
ke druhému, tedy nikoliv od koncového (uživatelského) bodu ke druhému podobnému
bodu. Tato architektura může fungovat pouze v případě, pokud jsou oba konce VPN
tunelu (tedy obě VPN zařízení) umístěny v důvěryhodném prostředí. Vyznačuje se
přitom vysokou spolehlivostí, jednoduchou možností konfigurace a snadnou
údržbou. Většinou je zde využíván protokol IPsec, který spoléhá na šifrování
dle standardů 3DES nebo AES. Pomocí nich je šifrováno vše od zavedení relace až
k výměně klíčů.
Tato konfigurace má ale jedno malé omezení: vyžaduje statickou IP adresu na
obou VPN branách. Někteří dodavatelé sice vytvořili vlastní (proprietární)
protokoly pro práci s dynamickými IP adresami v prostředí LAN-LAN, ale pro
tento model ještě není vytvořen obecně uznávaný a platný standard.
Naproti této relativně jednoduché konfiguraci představuje vzdálený přístup k
aplikacím pomocí VPN výrazně větší výzvu. Použití standardního protokolu IPsec
v tomto prostředí totiž zpravidla nebude fungovat. Protokol IPsec nepodporuje
dynamické a proměnlivé IP adresy, což je situace, která u vzdálených uživatelů
může poměrně snadno nastat. Jednoho krásného dne se sice nejspíše dočkáme, že
bude standardizován IKE2 (Internet Key Exchange, část IPsec), nicméně do té
doby je nutné instalovat IPsec klientský program. (Potíž je ale v tom, že
klienti mnohdy nespolupracují dobře pokud vůbec.)
Většina VPN postavených na architektuře vzdáleného přístupu podporuje i LAN-LAN
model, ale opačně tomu tak není (LAN-LAN model se nedá použít ke vzdálenému
přístupu).
Relativní novinkou je SSL VPN, což je alternativa řešící při vzdáleném přístupu
problematiku klientů. Tyto VPN využívají ke komunikaci standardní prohlížeče
(obvykle Internet Explorer) a protokol HTTPS. Protože tyto produkty nevyžadují
žádný speciální klientský program, k VPN může být přistupováno prakticky
odkudkoliv. Nicméně nejedná se o vše řešící variantu, protože tyto VPN velmi
často vyžadují specifické verze a nastavení prohlížeče i další komponenty
(plug-iny, Active X nebo Java moduly apod.). Navíc musejí být používána DNS
jména, nikoliv IP adresy. A krom toho pro přístup k newebovým aplikacím musíte
používat lokální proxy. Je tedy nutno zdůraznit, že tato metoda vyžaduje více
znalostí než použití standardního IPsec.

Další řešení
Zajímavým řešením bezpečnosti v souvislosti s VPN je použití zařízení typu "vše
v jednom" (all-in-one). Tedy VPN s firewallem a antivirovým programem spolu s
IDS a eventuálně s dalšími bezpečnostními prvky. Toto řešení přináší zpravidla
jednoduchost, výhody spojené správy více aplikací, nutnost pořizování menšího
množství hardwaru a výhody ekonomických úspor. Ale pozor, VPN (a zvláště SSL
VPN) vyžaduje hodně procesorového výkonu. Pomoci sice mohou specializované
šifrovací urychlovací karty, ale praxe ukazuje, že i podobný systém je velmi
snadné přetížit.
Obecně při rozhodování mezi řešením all-in-one a samostatným VPN zařízením
platí, že čím větší bude ošetřovaný provoz, tím spíše budete potřebovat
samostatné zařízení.
Závěrem ještě připomínáme, že z bezpečnostního hlediska je nutné dávat v
případě VPN důraz na nejslabší článek tedy na bezpečnost na straně klienta.
Centrální klientská správa, vynucené politiky či omezení přístupu se tak
stávají nezbytností.
Jak ukazuje studie konzultační firmy NTA Monitor zveřejněná v únoru 2005, devět
z deseti VPN není bezpečných. To ale v žádném případě neznamená, že jde o chybu
v technologii. Největší problémy vznikají jejím nesprávným používáním. Pokud
bychom chtěli být konkrétní, pak nejobvyklejší chyba je v uživatelských
jménech. Některé špatně nastavené VPN odevzdávají při pokusech o odhadování
jmen informace, které může následně hacker zpracovat a využít při útoku na
danou infrastrukturu.


Výhody virtuálních privátních sítí
n Snižují náklady oproti tradičním sítím WAN, a to díky využití veřejné
infrastruktury.
n Umožňují naplno využívat výhod globální sítě. Díky VPN není nutno
budovat/využívat vlastní linky, ale lze bez obav komunikovat prostřednictvím
jinak nezabezpečeného prostředí internetu.
n Urychlují přenos dat a snižují cenu připojení pro vzdálené uživatele.
n Rozšiřují geografickou konektivitu. Nezáleží na tom, kde a jak jsou
rozmístěné jednotlivé počítače či lokální sítě všechny jsou bezpečně a
spolehlivě propojené.
n V některých případech zjednodušují topologii sítě.
n Ve srovnání s tradičními pronajatými/vlastněnými sítěmi WAN mají rychlejší
ekonomickou návratnost. n Zvyšují bezpečnost tam, kde nejsou používané
šifrované komunikační kanály. Vytvářejí totiž bezpečné prostředí ve
standardních komunikačních kanálech.
n Zvyšují produktivitu práce data jsou dostupná rychle a v neporušené podobě.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.