Jak se bezpečně dostat do zamčené firmy

Virtuální privátní sítě (VPN) představují zajímavou alternativu pro napojení vzdálených klientů a serverů k cent...


Virtuální privátní sítě (VPN) představují zajímavou alternativu pro napojení
vzdálených klientů a serverů k centrální firemní lokální síti LAN. V
následujícím textu si ukážeme, jak mohou uživatelé taková řešení realizovat
bezpečně a levně a to díky serverům pro dálkový přístup podporujícím vlastnosti
VPN.
Pracovníci zaměstnaní na dálku, spolupracovníci v terénu, filiálky, obchodní
partneři a dodavatelé podniku potřebují někdy přístup k jeho centrálním síťovým
zdrojům. Pomocí VPN je to možné přes místního poskytovatele internetových
služeb (ISP), který zajistí připojení k Internetu. Data, která se mají
přenášet, se "tunelují" (tedy uzavírají do paketů) veřejnou datovou sítí k
nejbližšímu cíli serveru. Kombinací tunelování a kódování je možno zvýšit
bezpečnost datového provozu.
Analytici očekávají zvýšenou poptávku po VPN. Podle názoru Gartner Group
rozšíří do roku 2002 devadesát procent podniků své stávající aplikace dálkového
přístupu o VPN. Jedním z důvodů jsou úspory nákladů za připojení externích
uživatelů filiálek a obchodních partnerů. Protože k přístupu ke zdrojům
vnitropodnikových LAN dochází prostřednictvím Internetu, a ne přes komutovaný
okruh, odpadají náklady za meziměstské hovory. Firmy platí pouze místní tarif
za připojení k PoP (Point of Presence) místního ISP.
Možnost úspor je mimořádná. Pracovníci Forrester Research, firmy specializující
se na výzkum trhu, odhadují, že VPN mohou snížit náklady na dálkový přístup až
o 60 %. Použijí-li se místo specifických řešení otevřené systémy, založené na
standardním počítačovém hardwaru a operačním systému Windows NT, je možno
výlohy ještě dále redukovat. Ale i poskytovatelé internetových služeb dosáhnou
svého zisku, když nabídnou potřebné VPN služby podnikům, které hodlají využít
tohoto způsobu přístupu k síti.
VPN se realizují protokolem PPTP (Point-to-Point Tunneling Protocol), který je
součástí serveru Windows NT. Také operační systém Windows 98 poskytuje klientům
tuto funkčnost standardně. Použije-li se ovladač sítí v. 1.2 Microsoftu, dokáží
to i Windows 95. Spolupracovník u vzdáleného počítače může přes Internet sám
vstoupit do podnikové sítě a pracovat tak, jako kdyby na ni byl přímo napojen.
Microsoft investuje do RRAS (Routing and Remote Acces Service) serveru Windows
NT a integruje další a další funkce, které zjednoduší správu systémů dálkového
přístupu. Pro uživatele to znamená, že se sníží náklady na údržbu a docílí se
další úspory. Výrobci serverů dálkového přístupu nabízejí vedle bezpečnosti a
výkonu i kontrolní a řídicí funkce, které podniky ke zřízení VPN potřebují.
Připojení do sítě
Po technické stránce probíhá přístup pracovníků zaměstnaných na dálku,
spolupracovníků v terénu a také filiálky via VPN vždy podle určitého vzoru.
Nejprve se vzdálený uživatel nebo server ve filiálce připojí na uzel přímé
volby místního ISP. Dále pokračuje přenos dat kódovaně, pro další bezpečný
přenos po Internetu až k serveru dálkového přístupu se informace tunelují.
Vzdálený klient přitom otvírá bez aktivního zásahu ISP privátní tunel, který
sahá až do firemní LAN. Tamní server dálkového přístupu ověří totožnost
vzdáleného klienta nebo vzdáleného serveru, čímž chrání centrální podnikový
výpočetní systém před neoprávněnými přístupy zvenčí.
Při tomto scénáři mohou být podnikové sítě připojeny k ISP přípojkou EuroISDN
nebo pevnou linkou. U ISDN lze podle zátěže volit spojení určitým počtem až ze
třicítky B-kanálů, z nichž každý nabízí přenosovou rychlostí 64 Kb/s. Zvyšuje
to flexibilitu firem, které mohou využívat nižších nákladů spojení přes
Internet a ušetřit výdaje za drahé dálkové telefonní spojení.
Uzly poskytovatelů internetových služeb jsou dnes k dispozici téměř kdekoli;
uspořené telefonní poplatky je možno investovat do zvýšení spolehlivosti
nástrojů pro dálkový přístup. To je výhodou na straně VPN zejména při porovnání
s rozlehlými sítěmi (WAN) a se soukromými sítěmi, které pracují výhradně na
bázi telefonní sítě.
Většina podniků však nechce zcela upustit od možnosti přímého spojení přes
telefonní síť. Nepotřebují proto čisté systémy VPN, nýbrž servery dálkového
přístupu podporující smíšený provoz (přístup po komutované síti a přístup VPN)
z jediné platformy. Také možnost bezproblémové integrace budoucích technologií
je pro uživatele důležitá: způsoby přístupu jako DSL (Digital Subscriber Line)
nebo kabelové modemy se stávají stále významnějšími. Systémy dálkového přístupu
by proto měly být schopny tyto varianty co nejlépe podporovat.
To také znamená, že musí na jednom serveru běžet více aplikací. Právě podniky s
místními sítěmi na bázi Windows NT mohou jednoduše realizovat dálkový přístup
na bázi PC. Přitom se uplatní čtyři hlavní funkce VPN:
Příchozí přístup k VPN: vzdálený klient nebo server se přímou volbou spojí s
PoP místního ISP. Signály se přenesou "tunelem"
na IP-adresu serveru, spojeného s podnikovou LAN. Po digitálním
vysokorychlostním vedení se data přesunou z místního PoP podniku do firemní LAN.
Odchozí přístup k VPN: server otevře tunel k ISP, aby zřídil spojení ke
vzdálenému serveru nebo klientovi.
Odchozí sériový port pro sdružování aplikací volajících účastníků LAN: server
svazkuje odcházející signály a vysílá je veřejnou telefonní sítí, přitom
využívá až do ústředny rychlou digitální linku.
Příchozí dálkový přístup s možností přímé volby: vzdálení klienti se přímou
volbou přes veřejnou telefonní síť napojí na server, z něhož mají přístup k
vnitropodnikovým zdrojům.
Podniky tak mají možnost pořídit si cenově přístupné VPN, opírající se o PC, a
využít přitom vyšší bezpečnost internetových tunelů. Přístup k VPN poskytuje
také podstatně lepší škálovatelnost, protože se systémy založené na otevřených
standardech dají integrovat snadněji než proprietární řešení.
Vzdálený uživatel
U VPN s možností volby se vzdálený uživatel napojuje buď analogovým modemem
nebo kartou ISDN na PoP ISP. V případě server-to-server VPN mohou podniky
nahradit vysoce výkonné, ale drahé pevné linky mezi svými pobočkami rychlým
tunelovým spojením přes Internet, a tím podstatně redukovat náklady na dálkový
přístup. Servery dálkového přístupu mohou podle potřeby zřídit analogové nebo
digitální spojení a zabezpečují přitom datový provoz rychlým internetovým
spojením k centrálním firemním LAN a k jiným externím firemním objektům.
Ve většině podniků, které rozšiřují své sítě o vlastnosti VPN, již obvykle
existuje nějaké řešení dálkového přístupu. Je proto důležité vyvinout
strategii, která
tuto infrastrukturu využije a navíc umožní vzdáleným klientům a serverům
přístup k podnikové síti přes VPN. Servery dálkového přístupu založené na
standardech jsou v těchto případech zajímavou alternativou k proprietárním
řešením: svou pružností, škálovatelností a bezpečností vytvářejí dobré
předpoklady pro dálkový přístup jak po veřejné telefonní síti, tak i přes
Internet. Navíc nabízejí výrobci takových systémů obsáhlé softwarové sady
doplňující RRAS Microsoftu.

8 2720 / pen

Bezpečnostní aspekty VPN
Ověření uživatele, šifrování dat a metody kontroly přístupu jsou ústředními
složkami bezpečnosti ve Virtual Private Network. Ověření je založeno buď na
zadání jména a hesla, nebo na čipové kartě ve spojení s tajným číslem.
Identifikace uživatele je tak podstatně bezpečnější. Šifrovací mechanismy na
úrovni PPP nebo IP jsou další zárukou bezpečnosti dat. Technikou Pretty Good
Privacy (PGP) lze pořídit digitální podpisy, a tím zabezpečit data.
Stručně o PPTP
Point-to-Point Tunneling Protocol (PPTP) je dalším vývojovým stupněm protokolu
Point-to-Point Protocol (PPP). PPP se používá, když se uživatel přihlašuje u
poskytovatele internetových služeb (ISP). Jako standardní protokol pro datovou
komunikaci poskytuje PPP ochranu heslem a přezkouší uživatelské oprávnění
volajícího například pomocí Password Authentication Protocol (PAP) anebo
obsáhlejším Challenge Handshake Authentication Protocol (CHAP).
Naběhnou-li v příchozím serveru ISP volání podle PPP, ověří server uživatele a
eventuálně povolí jejich přístup. Odstraní informace PPP, které již
nepotřebuje, a předá datový paket na žádanou cílovou adresu (IP adresa) v síti.
Při tunelování se PPTP-pakety přepaketují do IP-paketů. Po prvním přihlášení se
u internetového poskytovatele vytvoří druhé logické spojení mezi vysílačem a
přijímačem, při němž se data přenesou tunelem. Přijímač znovu ověří uživatelské
oprávnění volajícího, než mu povolí přístup k firemnímu LAN. PPTP tudíž
zajišťuje bezpečný přístup k firemním LAN přes Internet. Dálkový přístup
oprávněného uživatele k soukromé síti LAN je tak plně chráněn.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.