Jak vyřešit vzdálený přístup k podnikové síti

Dostupnost informací, rych-lost, spolehlivost a univerzálnost přístupu k nim, je pro většinu firem a podniků klíčový...


Dostupnost informací, rych-lost, spolehlivost a univerzálnost přístupu k nim,
je pro většinu firem a podniků klíčovým předpokladem úspěchu. Přístup k
informacím je přitom velmi často nutné zajistit vzdáleným přístupem k sítím a
právě tomuto tématu se věnujeme v následujícím textu.
Vzdáleným přístupem k sítím obvykle rozumíme jednak přístup sítí k sítím,
jednak přístup jednotlivých uživatelů k sítím přes jinou síť. Touto jinou sítí
může být veřejná telefonní síť, veřejná datová síť poskytovatele služeb,
Internet apod.
Problematika propojování sítí je velmi obšírná, proto se budeme věnovat jen
její části. Představíme metody, které jsou dnes k dispozici pro připojení
uživatele k podnikové síti, popíšeme, jak lze připojit uživatele nebo lokální
sítě k Internetu, a jakým způsobem řešit bezpečnost takovéhoto připojení.
Přesto, že budeme převážně hovořit o připojení uživatele ke vzdálené síti,
uvedené metody připojení lze využít i při připojování lokální sítě ke vzdálené
síti.
Vzdálený přístup uživatele k síti
Typickým příkladem uživate-le vzdáleného přístupu k síti je zaměstnanec, který
z nějakého důvodu není přímo připojen k lokální síti firmy, přesto však
potřebuje přístup k elektronické poště, databázovým aplikacím, vnitřnímu
webovému serveru a dalším informacím.
Někdo např. cestuje s přenosným počítačem a potřebuje si v hotelu přečíst
e-mail, další se nachází u zákazníka a chce mu prezentovat data nacházející se
na vnitřním webovém serveru v domovské síti, třetí pracuje doma a chce mít
kompletní přístup k informacím v síti.
První uvedený uživatel bude požadovat zejména univerzálnost přístupu, tj. aby
se mohl připojit z domova stejně, jako z hotelu v Paříži. (Rozdíl pozná na účtu
za pokoj i za telefon, ale o tom se zmíníme později). Vysokou univerzálnost a
dostupnost dnes nabízí v podstatě jediná technologie a tou je spojení
analogovým modemem přes veřejnou telefonní síť.
Technologie ISDN, o které se zmíníme za chvíli, nabízí sice řadu technických
výhod, ale hlavním omezením je v tomto případě nízká dostupnost ISDN. To platí
nejen pro naše podmínky, ale např. i v západní Evropě, kde ISDN nabízí jen málo
hotelů.
Analogovým modemem, který podporuje standard V.90, popřípadě technologie
K56Flex, se může uživatel připojit rychlostí až 56 kb/s. Tato rychlost postačí
velmi dobře pro přístup k elektronické poště, k webovým serverům i databázovým
aplikacím typu klient--server. Nevýhodou je delší doba vystavení spojení,
snížení rychlosti při nekvalitním telefonním spojení a vysoká cena při
meziměstských nebo mezinárodních voláních. Náš uživatel v Paříží tak zaplatí
nejen poplatek za mezinárodní hovor, ale také vysokou přirážku (několikanásobek
ceny), kterou účtuje hotel. Přirážka se naštěstí dá obejít tak, že přístupový
server nebo směrovač v domovské síti umožní zpětné volání (callback). Uživatel
je potom při spojení přístupovým serverem vyzván k zadání telefonního čísla, na
které má zavolat zpět. Toto řešení tedy v tomto případě sníží náklady, ale také
zvýší bezpečnost, neboť na přístupovém serveru lze obvykle definovat seznam
přípustných telefonních čísel pro zpětné volání.
Další snížení nákladů
Další možností, jak snížit náklady na vzdálený přístup, je ten, že firma
rozloží geograficky přístupové servery. Uživatel při volání do sítě zvolí
nejbližší server. Málokterá firma si ovšem tento způsob může dovolit z mnoha
důvodů: jednak nemusí mít vhodně rozložené pobočky, jednak přístupové porty
nejsou nejlevnější. Navíc implementace a správa přístupových serverů není zcela
jednoduchá a může přesahovat možnosti firmy.
Výhodným řešením je, pokud firma může využít přístupová místa poskytovatelů
služeb. Velcí poskytovatelé služeb dnes mohou nabídnout globální pokrytí a
dostatečnou hustotu portů pro vzdálený přístup. Případ našeho cestujícího
uživatele potom může vypadat takto: Uživatel se nachází v hotelu v Paříži a
chce přistoupit do své domovské sítě. Nebude však provádět dial-up do Prahy,
ale najde nejbližší přístupový bod poskytovatele služeb, kterého firma využívá.
V ideálním případě se tento přístupový bod nachází v Paříži. Uživatel provede
lokální volání v Paříži a identifikuje se pro vstup do sítě poskytovatele.
Poskytovatel služby rozpozná uživatele a zjistí, že patří k pražské firmě.
Vytvoří přes svoji síť tunel, který končí na směrovači firmy v Praze. Tunel pak
v podstatě transportuje PPP protokol přes síť poskytovatele. Z pohledu
uživatele vypadá situace tak, jakoby se připojil PPP protokolem přímo do své
domovské sítě. V domovské síti může být uživatel prověřen a autorizován pro
určitý typ služeb. K prověření, autorizaci, případ-ně k účtování služeb lze
použít např. servery TACACS nebo RADIUS. Správce domovské sítě tak má kontrolu
nad tím, kdo se přes síť poskytovatele připojuje.
Tunely
V současné době se používá několik typů tunelů. Např. firma Cisco navrhla
protokol L2F (Layer 2 Forwarding), firma Microsoft zase vytvořila protokol PPTP
(Point to Point Tunneling Protokol). Kombinací obou metod vznikl protokol L2TP
(Layer 2 Tunneling Protokol), který má vel-kou šanci stát se nejrozšířenějším
způsobem transportu PPP protokolu přes IP sítě poskytovatelů.
Jinou možností, jak přistupovat vzdáleně k síti, je využít služeb Internetu.
Pokud se uživatel nachází v odlehlé síti (je např. připojen do sítě zákazníka
nebo partnera nebo má přístup k Internetu z domova), lze využít Internetu pro
transport dat do domovské sítě. Důležité je v tomto případě zajištění
bezpečnosti přístupu. Bezpečnost může zajistit např. směrovač v domovské síti,
vhodnějším řešením je ovšem firewall. Směrovač nemůže obvykle řešit bezpečnost
tohoto typu připojení klasickou metodou filtrů, tedy filtrováním podle
počáteční a cílové adresy, typu protokolu (tcp, udp) a portů. Důvodem je
skutečnost, že není obvykle možné předpovědět IP adresu počítače, který se do
sítě přes Internet připojuje.
Vhodnou metodou může být kombinace autentizace a autorizace uživatele s
dynamickými filtry. Uživatel je nejprve prověřen a autorizován na vstupním
směrovači domovské sítě (např. přes již zmíněný server TACACS nebo RADIUS) a na
základě autorizace se na směrovači dynamicky vytvoří paketový filtr, který
propustí pakety prověřených uživatelů a nepropustí pakety uživatelů, kteří přes
prověření neprošli. Tyto filtry mají obvykle časově omezenou platnost. Pokud
uživatel po určitou dobu nekomunikuje, filtr se uzavře a uživatel se musí znovu
prověřit.
Firewall nabízí obvykle účinnější metody ochrany, neboť sleduje správnost
ustanovení spojení, kontroluje příznaky v záhlavích paketů, případně i údaje na
aplikační vrstvě.
Technologie pro vzdálený přístup k sítím
Pojďme se nyní podívat, jaké konkrétní technologie lze pro vzdálený přístup
uživatele k sítím využít a jaké jsou výhody a nevýhody každé z nich.
Analogové připojení
Nejrozšířenějším způsobem je připojení počítače přes analogový modem. Dnes
dostupný standard V.90 dovoluje připojení rychlostí 56 kb/s. Tato rychlost
postačí velmi dobře pro prohlížení webových stránek, elektronickou poštu i
přístup k některým databázím typu klient-server. Možný je i přenos hlasu nebo
méně náročných multimediálních aplikací, pokud je možné překlenout nerovnoměrný
přenos multimediálních dat vyrovnávací pamětí (odpovídající obvykle několika
sekundám nebo i desítkám sekund přenosu).
Pro přenos multimédia vyšší kvality a v reálním čase a řadu dalších aplikací
nemusí však tato rychlost vyhovovat. Nevýhodou spojení přes analogový modem je
i delší doba vystavení spojení (okolo 15 až 30 vteřin). Pro běžnou práci to
většinou znamená, že se spojení jednou naváže a je udržováno po celou dobu
přístupu k síti. Náklady za tarifikační poplatky tak nemusí být zanedbatelné.
Technologie ISDN
Podstatně lepší možnosti poskytuje technologie ISDN. Základní typ připojení
(Basic Rate Interface) poskytuje uživateli dva digitální datové kanály (tzv. B
kanály), každý s kapacitou přenosu 64 kb/s. K přenosu signalizace se používá
tzv. D kanál o kapacitě 16 kb/s.
Při přenosu dat je možné oba kanály sdružit a uživatel má k dispozici kapacitu
128 kb/s pro přenos dat. Kromě toho lze využít B kanály k přenosu hlasu.
Uživatel tak může např. přes jeden B kanál telefonovat a druhý kanál využít
současně k přenosu dat. Výhodou ISDN je velmi rychlé vystavení spojení (okolo
1-2 vteřin). Rychlé vystavení spojení dovoluje uzavřít spojení v případě, že se
data nepřenášejí. Pokud je nutné znovu začít data přenášet, spojení se rychle
naváže a při běžných aplikacích (např. prohlížení webových stránek nebo
stahování elektronic-ké pošty) uživatel prakticky nepozná zpoždění přenosu.
Výsledkem může být výrazné snížení tarifikačních poplatků za přenos dat oproti
spojení analogovým modemem. Jistým rizikem však může být nevhodná konfigurace
ISDN rozhraní na počítači nebo směrovači. Každé nové navázání spojení totiž
vyvolá tarifikační impulz. Při velmi rychlém automatickém otevírání a zavírání
linky tak může zařízení vyvolat mnohem více tarifikačních impulzů, než odpovídá
trvale otevřené lince. Snadnou obranou proti tomuto efektu je ovšem nastavení
vhodné časové prodlevy pro uzavření linky na ISDN rozhraní počítače nebo
směrovače.
Přes ISDN lze přenášet data náročnějších aplikací. ISDN lze např. velmi dobře
použít pro přenos videokonferencí v reálném čase, pokud nemáme vysoké nároky na
kvalitu obrazu. Takovéto nároky mohou např. vyvstat při sledování
technologických procesů, operací v lékařském prostředí apod. V takovém případě
musíme mít k dispozici výrazně vyšší kapacitu přenosu (řádově megabitů za
vteřinu).
Některých služeb ISDN, jako je např. poskytování čísla volajícího, lze využít
pro zabezpečení přístupu. Pokud např. poskytuje firma přístup zaměstnancům do
sítě z domova přes ISDN, je možné na přístupovém serveru sítě definovat seznam
přípustných čísel volajících, popřípadě kombinovat tuto metodu se zpětným
voláním.
Přístupové servery
Přístupové servery lze připojit k veřejné telefonní síti přes rozhraní PRI
(Primary Rate Interface). Toto rozhraní obsahuje 30 digitálních datových B
kanálů o kapacitě 64 kb/s a jeden D kanál se stejnou kapacitou pro přenos
signalizace. Přes jedno fyzické rozhraní přístupového serveru je možné připojit
až 30 vzdálených uživatelů současně.
Některé přístupové servery dovolují tzv. hybridní přístup přes rozhraní PRI. To
znamená, že přes přístupový server mohou do sítě přistupovat uživatelé vybavení
analogovým modemem i uživatelé připojení přes rozhraní ISDN BRI. Přístupový
server je potom vybaven modemy (obvykle instalovanými uvnitř serveru). Podle
signalizace v D kanálu pak přístupový server rozpozná typ volání. Analogové
volání je zpracováno modemem, volání z BRI je přijato jako digitální. Tyto
univerzální přístupové servery obvykle dovolí obsloužit vysoké množství
volajících najednou (řádově stovky až tisíce), poměrně snadno se spravují a
udržují a nabízejí vysokou úroveň zabezpečení, propracované směrování, odolnost
proti poruchám a další rysy.
Technologie DSL
V současné době se rozvíjejí další technologie pro vzdálený přístup a zejména
pro přístup do Internetu. Jde o technologie souhrnně označované jako xDSL
(Digital Subscriber Line). Existuje řada jejich variant, např. ADSL
(Asymmetrical DSL), HDSL (High-speed DSL), IDSL (ISDN DSL), VDSL (Very
High-speed DSL). Tyto technologie se liší řadou parametrů, např. modulačními
metodami a rychlostí přenosu, základní myšlenka je však obdobná. Jde o to, že
současné telefonní sítě jsou stavěny pro přenos hlasu, k čemuž stačí přenést
pouze část spektra frekvencí, a sice do rozsahu zhruba 4 000 Hertzů. Zařízení v
telefonní síti (ústředny, filtry apod.) počítají s tímto omezeným rozsahem
frekvencí. Tento fakt omezuje dosažitelné rychlosti přenosu dat přes telefonní
sítě.
Technologickým vrcholem je v tomto okamžiku zmíněná rychlost analogového
přenosu 56 kb/s. V kontrastu s tímto faktem je skutečnost, že měděné dráty,
které jsou vedeny od uživatelů telefonů, jsou schopny přenášet vysoké frekvence
a umožňují dosáhnout přenosových rychlostí megabitů až desítek megabitů za
vteřinu.
ADSL
V případě technologie ADSL lze dosáhnout ve směru od uživatele rychlosti zhruba
1 Mb/s, v opačném směru pak rychlosti přenosu dat až 7 Mb/s. (Tato rychlost
ovšem závisí značně na kvalitě, průměru a délce vedení). Technologie ADSL je
velmi vhodná pro připojení k Internetu, neboť uživatel obvykle přenáší více dat
z Internetu směrem k sobě než opačným směrem.
Uživatel je v případě ADSL připojen k telefonnímu vedení přes splitter, který
moduluje datový signál a přenáší ho přes vysoké frekvence. K tomuto zařízení
může být současně připojen klasický analogový telefon, přenášející hlas v
nízkých frekvencích. Splitter může být samostatné zařízení nebo je součástí
jiného zařízení (směrovače, DSL modemu). Na konci vedení je opět splitter,
který oddělí hlasový signál od datového. Hlas je potom poslán do telefonní
sítě, da-ta jsou odeslána do datové sítě přes koncentrátor DSLAM (DSL Access
Multiplexor).
DSLAM je připojen k datovému zařízení, kterým může být výkonný směrovač, ATM
přepínač, případně kombinace obou aktivních prvků. Toto datové zařízení
zajišťuje přenos dat do Internetu nebo jiných sítí. Z uvedeného je vidět, že
využití této technologie je možné jen tehdy, pokud poskytovatel hlasových
služeb má k dispozici odpovídající zařízení, tedy splitter, koncentrátor DSLAM,
a datová zařízení, jakož i speciální programové vybavení, které dovoluje
uživatelům volit služby a poskytovateli tyto služby účtovat. Tento software
bývá označován názvem Service Selection Gateway (SSG).
Technologie DSL se zatím uplatňují zejména v USA a některých státech v Evropě
(Švýcarsko, Švédsko). Do jisté míry mohou technologie DSL využít i podniky,
které mají v areálu vlastní telefonní infrastrukturu a nechtějí nebo nemohou
investovat prostředky do datového rozvodu.
Kabelová televize
Další možnou technologii pro přístup do Internetu představují rozvody kabelové
televize. Uživatel má potom možnost přes existující kabelový rozvod televize
současně přijímat televizní signál, přenášet data a popřípadě i uskutečňovat
telefonní hovory.
Zabezpečení vzdáleného přístupu
Zabezpečení vzdáleného přístupu je velmi důležité, protože při něm připojujeme
vnitřní síť k veřejné síti, ať už jde o veřejnou telefonní síť, Internet nebo
jiný typ datové sítě. Je obvykle vhodné kombinovat více metod zabezpečení.
Základní metodou je prověřit uživatele, autorizovat je pro přístup ke službám
sítě, popřípadě ukládat záznamy o aktivitě uživatelů v síti.
PAP, CHAP
Při připojení uživatelů přes PPP protokol lze využít protokolů PAP (Password
Authentication Protocol), popřípadě CHAP (Challenge Hanshake Authentication
Protocol). Protokol PAP nabízí nízkou úroveň zabezpečení, neboť zařízení, která
se prověřují, si vyměňují uživatelská jména a hesla v otevřené textové podobě.
Při použití těchto protokolů je databáze uživatelů obvykle uložena na
přístupovém serveru nebo směrovači, což ve větších sítích není optimální.
V takovém případě je možné využít řešení se servery TACACS+ nebo RADIUS, které
udržují centralizovanou databázi uživatelů, hesel, přístupových práv a další
údaje. Více přístupových serverů potom může sdílet údaje na těchto serverech.
Velmi často lze využít údajů v externích databázích ODBC databázích, doménových
databázích NT serverů nebo v Novell Directory Services.
A další...
Po připojení uživatele k přístupověmu serveru je uživatel vyzván k zadání jména
a hesla. Zadané jméno a heslo prověří přístupový server u serveru TACACS nebo
RADIUS, autorizuje uživatele pro určitý typ služeb. Autorizace může proběhnout
např. tak, že se na přístupovém serveru aktivuje určitý datový filtr. Server
TACACS nebo RADIUS potom může zaznamenávat události v síti (dobu připojení
uživatele, použité služby nebo příkazy apod.). Bezpečnost je možné zvýšit
zavedením systému pro generování hesel s časově omezenou platností. Uživatel
vlastní hardwarovou kartu (tzv. token kartu) nebo software s obdobnou funkcí a
zná PIN pro aktivaci a vygenerování hesla. Takto vygenerované heslo je
synchronizováno s centrálním token serverem a má časově omezenou platnost
(desítky sekund). Pokud je heslo náhodou zachyceno nepovolanou osobou, nemůže
být později zneužito.
Callback
Bezpečnost sítě lze dále zvýšit zavedením zpětného volání (callback),
identifikací čísla volajícího (pokud tuto službu poskytuje veřejná telefonní
síť), implementací paketových filtrů, popřípadě instalací firewalu. Pokud
přenášíme citlivá data přes veřejné sítě, je vhodné zvážit možnost šifrovat
tato data.
IPSec
Velmi bezpečné komunikace přes veřejné sítě je možné dosáhnout implementací
standardu IPSec. IPSec je metoda, která dovoluje dvěma koncovým zařízením
komunikujícím protokolem IP vytvořit bezpečný komunikační tunel a dohodnout se
na metodách autentizace paketů, popřípadě metodách pro šifrování dat v paketu.
Komunikujícími zařízeními může být směrovač, počítač, server, firewall apod.
Pokud se zařízení shodnou na použitých metodách, mohou si bezpečným způsobem
vyměnit klíče potřebné pro autentizaci paketů nebo šifrování. Poté může být
každý paket opatřen podpisem, identifikujícím odesílatele a přenášená data
mohou být šifrována.
IPSec přímo nepředepisuje metody pro šifrování nebo autentizaci dat. Pro
šifrování je možné použít např. algoritmy DES, Tripple DES, Blowfish, IDEA, RC4
nebo další. Pro autentizaci jsou k dispozici metody MD5, SHA (Secure Hash
Algorithm), DSS (Digital Signature Standard). Pro bezpečnou výměnu klíčů se
využívá Diffie-Helmannovy metody.
Obecně lze říci, že pro počáteční prověření komunikujících stanic se používá
nesymetrických metod s veřejným a privátním klíčem, pro šifrování dat se použí-
vá symetrických metod, kdy obě koncová zařízení sdílejí klíč pro šifrování a
dešifrování. Asymetrické metody jsou velice bezpečné, jsou však velmi náročné
na výpočetní kapacitu procesoru. Symetrické metody jsou obecně méně bezpečné
(vyžadují menší čas na zjištění klíče), jsou však výpočetně méně náročné a lze
je efektivně implementovat v hardwaru.
IPSec může pracovat ve dvou základních modech. V transparentním modu a
tunelovacím modu. Transparentní mod používají obvykle při komunikaci dvě
koncová zařízení. V tomto modu koncová stanice vloží za záhlaví IP paketu nové
záhlaví sloužící pro autentizaci, případně šifrování dat. Paket je
transportován v IP síti, nové záhlaví je využito až koncovou stanicí, která
prověří paket, případně rozšifruje data.
Tunelovací mod obvykle používají mezilehlá zařízení, např. směrovače. V tomto
modu je paket opatřen novým IP záhlavím s cílovou adresou protějšího směrovače,
za IP záhlaví se vloží IPSec záhlaví a původní paket včetně záhlaví se stává
datovou částí nového paketu, může být tedy šifrován. Cílový směrovač odstraní
vnější záhlaví, IPSec záhlaví použije pro prověření případně dešifrování
původního paketu, a tento paket odešle k cílové stanici v otevřené (nechráněné)
podobě.
Závěr
V oblasti vzdáleného přístupu můžeme zcela jistě očekávat výrazný rozvoj. Stále
rostoucí zájem o připojení do Internetu, zavedení bezpečné komunikace přes
Internet a s tím související rozvoj elektronického obchodování, vývoj aplikací
s vysokými nároky na přenosové pásmo a kvalitu služby a celá řada další faktorů
zřejmě urychlí využití nových technologií s vysokou rychlostí přenosu.
Uživatelé tak budou mít i při vzdáleném přístupu do sítí k dispozici obdobné
služby a aplikace, jako v prostředí lokálních nebo kampusových sítí.
8 2888 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.