Vlastní síť využívá Internetu

Vnitropodnikové intranety i extranety, jež spojují navzájem obchodní partnery, vyžadují od dálkových spojů stále v


Vnitropodnikové intranety i extranety, jež spojují navzájem obchodní partnery,
vyžadují od dálkových spojů stále větší pružnost. Nové spojovací cesty se musí
dát rychle vybudovat a podle potřeby zase rychle zrušit. Drahé a setrvačné
pevné linky již sotva obstojí ve světě ovládaném Internetem a Webem. Daleko
vhodnější jsou virtuální privátní sítě (VPN).
Důležitým argumentem, na který bude každý uživatel jistě slyšet, jsou úspory na
nákladech. Vsadí--li podniky na VPN včetně kódování, autentizace a ochrany
firewally, vyplatí se instalace především tam, kde provozovatelé sítí příslušné
služby již nabízejí.
Eberhard Holler, jednatel firmy Consulting & Networks v německém Oberurselu,
odhaduje náklady na zřízení VPN v ideálním případě jen na polovinu výdajů za
pronajatou linku. Je to opodstatněné srovnání, protože VPN spolu se šifrováním
a autentizací poskytuje přinejmenším stejné soukromí jako drahé pevné linky.
Holler také ujišťuje: "Při ceně nižší až o 30 % oproti Frame Relay vytlačí
internetové VPN i tuto službu."
Než se však uživatelé dostanou k těmto slibným úsporám, musejí překonat řadu
překážek. Spojení firemních sítí přes Internet vázne na nedostatku šířky pásma
pro připojování velkých poboček internetové VPN obvykle nestačí. "Provozovatelé
sítí, kteří zajišťují přenosy velkých objemů dat po Internetu, obvykle šířku
pásma nezaručují. Často také přísliby nedodržují," stěžuje si Holler. Proto se
také internetové VPN obvykle nehodí pro zákazníky, kteří potřebují rychle a
spolehlivě přenášet velké objemy firemních dat, navíc s garantovanou kvalitou
služeb (QoS Quality of Service).
Z těchto důvodů splňují internetové VPN jen roli prostředníka mezi malými
podniky nebo spojení centrály s malými pobočkami, mobilními externími
spolupracovníky nebo detašovanými pracovišti. Nebo fungují mezi většími
dislokovanými podnikovými útvary jako přenosové médium pro e-mail, případně pro
technologické procesy méně závislé na čase a na průchodnosti spojení.
Wolfgang Schwab, poradce společnosti Meta Group v Mnichově, hodnotí aktuální
situaci internetových VPN takto: "Pro konkrétní aplikace, zejména uvnitř
velkých organizací s četnými pobočkami, není výkon, který VPN nabízejí, obvykle
únosný." Často podle něj také není umožněna dostatečná škálovatelnost. I Holler
je jednoznačně toho názoru, že má-li uživatel k dispozici zaručenou a hlavně
také dodržovanou přenosovou šířku pásma 256 Kb/s a více, nemusí již uvažovat o
zřízení VPN k zajištění objemných datových proudů a interaktivních aplikací.
Různé techniky
Další překážkou pro potenciálního uživatele je stále ještě i chaos navzájem si
konkurujících technik tunelování základní technologie internetových VPN. Na
trhu je 8 různých technologií, pracujících na 2. nebo 3. vrstvě modelu OSI.
Mimoto existují další proprietární techniky.
"Některé firmy se mermomocí snaží vnutit trhu své pojetí tunelu na 2. vrstvě
OSI," poznamenává Johann Ladwein, poradce pro IT z Maintalu. Nezbývá než
doufat, že trh přinutí vývojářské firmy, aby nabízely klientské aplikace, které
si na konci tunelu poradí se všemi významnými tunelovacími technikami.
Komplikovaný postup
Navíc se přenosová cesta tunelu na 2. vrstvě někdy podobá labyrintu. Jednotlivé
techniky nevynikají zrovna jednoduchostí: nejprve se soukromý IP paket
účastníka zabalí do paketu 2. vrstvy, např. protokolem PPTP. Potom se přebalí
do IP paketu s veřejnou adresou, přidělenou provozovatelem služeb. To vše se
obalí PPP rámcem a předá se provozovateli sítě. Ten vyjme veřejný IP paket z
PPP rámce a doručí ho adresátovi. Na konci tunelu se v opačném pořadí obnoví
původní formát paketu (tj. soukromý IP paket).
Tento komplikovaný postup má pro uživatele celou řadu nevýhod: přidávaný rámec
2. vrstvy zvyšuje náklady dálkového přenosu, protože zvyšuje objem přenášených
dat. Navíc se eventuálně musí kódovat i paket 2. vrstvy. Dále je na závadu, že
tato technika dovoluje méně paralelních PPP spojení než tunel na 3. vrstvě.
Důvodem je vysoká náročnost na výpočetní kapacitu na konci tunelu při složitém
odpaketování informace. To také zvyšuje riziko přerušení spojení, musí-li se
dodržovat specifické systémové časové prodlevy (Time-outs), jako např. v
prostředí SNA.
Efektivnější jsou tunely na 3. vrstvě, protože zde odpadá vložené zabalení do
paketu 2. vrstvy se všemi popsanými nevýhodami. Navíc může uživatel zřídit a
konfigurovat tunel na 3. vrstvě nezávisle na provozovateli sítě, protože se
nemusí starat o funkceschopnost na 2. vrstvě.
Holler je proto přesvědčen, že tunelování na 3. vrstvě je jako základna pro VPN
a zejména pro protokol IPSec (IP Security) pro uživatele nejlepší metodou. Také
René Lutze, poradce u firmy Gora, Hecken & Partner ze Sulzbachu považuje
tunelovací techniku IPSec za správnou volbu: "S IPSec je možno aplikovat na
internetových VPN firewallové systémy různých výrobců. Uživatel přitom může
využít další přídavné funkce, např. autentizační hlavičku, předřazenou IP
hlavičce." Tato hlavička obsahuje šifrovací informace, které definují
manipulace s IP datagramem.
Ani IPSec však není zcela bez chyb. Norma ponechává výrobcům volnost při
konverzi procedur, firewallingu a kódování, což přinášelo problémy např. kvůli
ještě nedávným velmi přísným exportním pravidlům USA pro oblast šifrovacích
technologií.
Odborníci, jako např. Holler, radí používat pro velmi důvěrná data ve VPN
kódování klíčem o délce 128 bitů a omezit se přitom na systémy Triple-DES, IDEA
a RC4. Ale i když se uživatel zařídí podle této rady, existuje velké množství
variant kódování. Domnělý standard Triple DES existuje v základních verzích se
128, 168 a 192 bity. Jen od tohoto kódovacího modelu je na trhu asi 250
variant. Kompatibilita standardu IPSec se tak stává poněkud nejistá.
Autentizace
Naopak u dalšího důležitého článku internetových VPN se uživatel může opřít o
obecně závazný de-facto-standard Radius (Remote Authentication Dial-in User
Service). Tato technika je trhem vysoce ceněna a nabízí také řadu výkonných
přídavných funkcí. Tak lze například cíleně vyřadit určité účastníky VPN z
komunikace na základě určitých síťových protokolů, vytypovat určité logické
síťové adresy jako cíle nebo konfigurovat přenosovou cestu k určitému segmentu
sítě nebo k určitému počítači. Radius také dovoluje ověřit si specifické
konfigurační parametry při pokusných volbách. Dále poskytuje tato autentizační
technika několik možností vyúčtování.
I když se účastník internetových VPN musí dnes ještě potýkat s některými
překážkami, případy nekompatibility a se závislostí na producentech, znalci
trhu nepochybují, že tomuto způsobu komunikace patří budoucnost. Perspektivy
globální IP komunikace jsou velmi přesvědčivé.
Pro a proti internetových VPN
Pro:
Technika je založena na internetovém protokolu.
Nabíhají jen nízké náklady spojení k nejbližšímu přístupovému uzlu.
Nové spoje lze rychle vytvořit a snadno spravovat.
Díky konceptu tunelování může účastník udržovat svůj vlastní koncept IP adres
nezávisle na adresách zadaných provozovatelem sítí.
Proti:
Provozovatelé sítí jen zřídka garantují šířku pásma. To omezuje využití.
Existuje příliš mnoho proprietárních a nekompatibilních technik tunelování.
Šifrování není regulováno jednotně.
9 1627 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.