Síť ukrytá v síti

Pro připojení filiálek, detašovaných pracovišť nebo pracovníků v terénu k centrále, se podnikům nabízí několik ...


Pro připojení filiálek, detašovaných pracovišť nebo pracovníků v terénu k
centrále, se podnikům nabízí několik možností: buď vybudování vlastní rozlehlé
sítě, nebo použití tzv. VPN Virtual Private Network. VPN používá veřejně
přístupné přenosové cesty, např. telefonní síť, je však přístupná jen určitým
uživatelům. Jedná se o uzavřený, "virtuální" síťový systém.
Výše uvedený popis platí i pro VPN provozované po Internetu. V tomto případě
probíhá komunikace po veřejné síti (Internetu), ovšem v odstíněných kanálech.
Bezpečnostní opatření přitom zabraňují, aby se do VPN zapojil neoprávněný
účastník. Každý uživatel VPN musí být identifikován a jeho oprávnění prověřeno;
přenášená data jsou zakódována.
VPN na bázi Internetu je obvykle pro uživatele cenově výhodnější než pronajaté
vedení, protože pevné linky jsou drahé a bývají zřídka kdy plně využívané. Při
přístupu k Internetu nabíhají naopak jen telefonní poplatky podle místního
tarifu. Přitom je VPN na bázi Internetu redundantní: při výpadku jednoho
spojení se datový provoz převede do jiné cesty. Navíc je Internet přítomen po
celém světě a proto je zajímavý zejména pro podniky s mezinárodními aktivitami.
Filiálky nebo pracovníci v terénu se spojí vytáčením buď s nejbližším vstupním
bodem (PoP "Point of Presence") poskytovatele internetových služeb, anebo při
velkém množství dat pevnou linkou s uzlem. Chce-li se například odbytový
spolupracovník (v terénu) spojit s podnikovou databází, buď si zatelefonuje ze
své domácí kanceláře, nebo použije svůj kapesní počítač.
Základem je IP-tunel a protokol PPP
Základnou VPN je centrální struktura komutovaného připojování v podniku.
Centrála a filiálky jsou spojeny IP-tunelem. Vzniká tak hvězdicová síť, přes
kterou má uživatel přístup k centrálním službám podniku. Uživatelé si mohou
vyměňovat zprávy nebo data jen po VPN. Přístupy k Internetu jsou chráněny
centrálním firewallem.
Klienti vytvoří pomocí protokolu PPP spojení k přístupovému routeru.
Uživatelské oprávnění volajícího se prověří protokolem (CHAP) Challenge
Handshake Authentication Protocol podle RFC 1994. IP tunel končí na posledním
směrovači, spravovaném poskytovatelem internetových služeb. Tím je buď systém
uživatele, nebo směrovač v přístupovém uzlu poskytovatele. Koncovým bodem
centrálního tunelu je speciální směrovač v podnikové centrále.
Připojí-li se účastník vytáčením přes přístupový uzel nebo přes PoP k páteřní
síti poskytovatele služeb, otevře se na dobu spojení IP-tunel, tj. vytvoří se
tzv. VPDN "Virtual Private Dial-up Network". V případě pevné linky je IP-tunel
staticky konfigurován v komunikační páteři.
Filiálky nebo externí účastníci jsou s centrálou podniku spojeni přes tuto
páteř. Ta mívá podle objemu přenášených dat rychlost n x 64 kb/s až 24 Mb/s s
PoP. Směrnou hodnotou pro potřebnou šířku pásma je součet šířek pásma všech
pracovišť, které mohou být ve VPN současně aktivní.
Jako přístupová technika pro pracoviště v terénu se hodí zejména komutované
spojení ISDN. To je spolehlivé a šířka pásma 64 kb/s, eventuálně 128 kb/s při
svazkování kanálů, je dostatečná. Navíc by měl poskytovatel dát v přístupových
uzlech k dispozici analogové porty, například pro uživatele s klasickými modemy.
Také GSM je stále důležitější přenosová cesta vhodná hlavně pro pracovníky
zajišťující externí služby, např. pro servisní techniky. Nehodí se však jako
standardní přístupová technika, protože nezajišťuje dostatečnou kvalitu ani
kapacitu spojení.
VPN by měla podporovat následující scénáře:
spojení jednotlivých pracovišť (PC) digitálně nebo analogově
připojení lokálních sítí (LAN) komutovaným spojením nebo
připojení LAN pevnou linkou (např. s podnikovou centrálou)
V prvním případě patří k vhodnému vybavení terminálu karta ISDN nebo modem,
Windows 95 nebo NT s podporou TCP/IP příslušnými aplikačními programy. Účastník
přes svou přípojku ISDN nebo běžnou telefonní linku připojí na přístupový uzel
poskytovatele.
Má-li být jedním komutovaným přístupem integrováno do VPN více jednotlivých
pracovišť, například PC v LAN, běží komunikace pomocí komutačního uzlu přes
směrovač ISDN. Účastník se spojí s uzlem a LAN komunikuje s přístupovým uzlem
prostřednictvím směrovače přes pevnou linku. V případě připojení lokální sítě
se doporučuje nainstalovat firewall, která kontroluje tok dat mezi podnikovou
sítí LAN a Internetem. Firewally, na kterých mohou být nainstalovány servery
pro WWW, FTP a poštu (ale potom pozor na snížení zabezpečení), mají obvykle 2
síťové karty a to pro spojení s LAN a s Internetem. Server WWW může být ale
umístěn také v neutrální zóně v systému, k tomu určeném. Další bezpečnost
zajišťují redundantní instalace. V běžném provozu mohou být paralelně nasazeny
oba systémy a zvýšit tím výkon.
Ochrana proti útokům zvenčí
Vedle hackerů jsou dalším nebezpečím pro lokální sítě především viry. Firewally
pracující na aplikační vrstvě by měly zajistit ochranu před makroviry, které se
mohou šířit e-mailem, před nežádoucími Java applety nebo prvky ActiveX.
Data přenášená Internetem musí být rovněž zabezpečena před vyzvědači a před
úmyslnými změnami. Přitom se osvědčují symetrické a asymetrické šifrovací
postupy. Při symetrickém postupu mají oba partneři komunikace k dispozici
stejný klíč pro kódování a dekódování dat, který je znám jen jim.
Asymetrické šifrování pracuje s veřejným a s tajným klíčem, které jsou spolu
matematicky spojeny. Veřejným klíčem může zprávu zašifrovat kdokoli. Pouze
příjemce má privátní (tajný) klíč k dešifrování zprávy. Je-li zpráva generována
privátním klíčem, může být odesílatel verifikován veřejným klíčem.
Pomocí těchto "digitálních podpisů" lze provádět všechny obchodní procesy po
Internetu důvěrně a právoplatně. Vznikají certifikační instituce, které ověřují
spojení identity s určitým klíčem a tak vytvářejí "elektronické průkazky"
bezpečné proti padělání.
Všechna opatření k zabezpečení komunikace mezi sítí LAN a Internetem by měla
být definována v "bezpečnostní politice". Tyto bezpečnostní směrnice obsahují
organizační a technické podmínky pro zabezpečení sítě LAN. Aby byla
bezpečnostní politika účinná, musí být známy hardware a software, instalované v
síti, podrobnosti o jejich implementaci i osoby zodpovědné za jednotlivé
bezpečnostní prvky, např. za správu firewallu.
Pokud uživatel popsaná bezpečnostní opatření kombinuje a důsledně je aplikuje,
nemusí se bát, že by se důležitá podniková data při přenosu po Internetu
dostala do neoprávněných rukou nebo byla změněna. Může proto používat Internet
jako základnu pro svou vlastní "privátní" síť.
Virtual private network (vpn)
VPN je technické řešení pro přenos chráněných dat veřejnou sítí, např.
Internetem. Připojení detašovaných pracovišť, filiálek a spolupracovníků v
terénu lze realizovat buď komutovaným spojením přes analogovou či ISDN
přípojku, nebo případně pevnou linkou (doporučuje se při velkém množství dat).
Dalšími variantami připojení externích spolupracovníků je síť GSM. Pro
zabezpečení přenášených dat je nezbytné je šifrovat.
9 1231 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.