VPN: Právo na soukromí

DEFINICE Virtuální privátní síť (VPN) představuje bezpečné propojení mezi dvěma body připojenými k internetu. I...


DEFINICE
Virtuální privátní síť (VPN) představuje bezpečné propojení mezi dvěma body
připojenými
k internetu. Informace, které přenáší, jsou šifrovány a baleny do IP paketů.
Tato technika bývá označována jako tunneling. V obecném pojetí znamená VPN
bezpečné spojení subjektů prostřednictvím nezabezpečené sítě.
Mnoho se o nich mluví, ale jen málokdo ví, co se za zkratkou VPN skrývá.
Virtuální privátní sítě lze přitom považovat za velmi slibné řešení bezpečné
komunikace mezi firmami a externími spolupracovníky či partnery. VPN je v
podstatě komunikační sítí mezi omezeným počtem autentizovaných účastníků, která
je vybudována s použitím veřejného média. Takovým médiem může být například
internet, ale i jiná síť, která je přes internet přístupná, například podniková
síť postavená na ATM nebo Frame Relay.

Varianty spojení
V závislosti na tom, jaké účastníky má virtuální privátní síť propojit,
přichází v úvahu pět druhů topologií označovaných jako End to End, Site to
Site, End to Site, vícecestná struktura nebo hvězdicová síť.
V End to End síti je datový provoz mezi dvěma koncovými přístroji kompletně
šifrován. Oba k tomu používají klientský software VPN. Každý počítač ve VPN
síti musí mít k dispozici veřejný klíč všech potenciálních komunikačních
partnerů. Při komunikaci po internetu potřebuje navíc každý VPN klient
oficiální IP adresu.
V síti Site to Site, která se vyskytuje podstatně častěji, je zajišťován
bezpečný provoz mezi bránami (gateway) dvou sítí. Ty zajišťují šifrování dat
pro přenos nechráněnou externí sítí. Na své cestě lokálními sítěmi až ke
koncovým zařízením zůstávají informace nešifrované. Pro lokální síťovou
architekturu mohou být používány interní IP adresy. Pouze gateway musí mít
oficiální adresu. Často je prováděn rovněž překlad adres (address translation),
jehož prostřednictvím je navenek skryta interní IP adresová struktura
jednotlivých pracovních stanic ve firmě. Síť VPN, která podporuje standard
IPSec (IP Security), provádí tento převod adresy v tzv. tunelovém režimu.
Zatímco IP paket přenášený tunelem obsahuje interní adresu cílového systému,
nachází se ve vnějším, přenosovém IP paketu pouze adresa příslušné brány. Pro
zúčastněné interní sítě a koncová zařízení je přenos dat v rámci takové VPN
transparentní. Koncová zařízení nevyžadují instalaci klientského softwaru VPN,
což snižuje náklady na správu sítě. Problematickým bodem zůstává to, že je
téměř nemožné provést distribuci do podsítí, které mají ověřená nebo neověřená
připojení (podle definovaných přístupů). Jakmile se vybuduje propojení přes VPN
do jiné firmy, lze data přenášet mezi lokálními intranety v zúčastněných
firmách.
Z bezpečnostních důvodů se proto mezi sítěmi internet a intranet, popřípadě
mezi sítěmi VPN účastníků, umisťují firewally. Firma sama může být schopna
zabezpečit vlastní intranet, otázkou však je, zda všichni obchodní partneři,
kteří obdrží přístup na VPN, používají stejné bezpečnostní standardy.

Mobilita
Třetí alternativa, propojení typu End to Site, je kombinací obou výše
jmenovaných řešení. Jejím prostřednictvím lze vybudovat sítě VPN, které
zajišťují externím klientům nebo zaměstnancům bezpečné připojení k firemní
síti. Je to řešení výhodné především pro malé pobočky, domácí pracoviště nebo
servisní pracovníky v terénu. Jde o alternativu, která umožňuje předejít
přímému propojení do firemní sítě, a tím udržovat nízké náklady. Místo přímého
spojení se vytváří spojení mezi uživatelem a firemní sítí prostřednictvím
nejbližšího poskytovatele internetových služeb (ISP). Neposkytuje--li
internetový provider žádnou VPN gateway, musí být na přenosném zařízení
uživatele nainstalován klientský software VPN.
Tunel VPN sahá od mobilního zařízení k firemní bráně. Počítač uživatele však
musí obsahovat oficiální IP adresu. Nabízí-li provider VPN gateway, není
bezpodmínečně nutné instalovat klienta na mobilním počítači. Kromě toho pak
počítač nepotřebuje žádnou oficiální IP adresu. V takovém případě se ale data
přenášejí na VPN gateway providera v nešifrovaném formátu. Proto nelze tuto
variantu obecně doporučit. Hvězdicová topologie se vyskytuje především u sítě
VPN, která se skládá z jedné centrály s mnoha pobočkami, vzdálenými stanicemi a
domácími pracovišti. U této sestavy probíhá celý datový provoz od vzdálených
stanic obousměrně k centrále. Mezi pobočkami nedochází k žádné přímé
komunikaci. Jiné je to u vícecestné struktury: tady jsou všechny pracovní
stanice navzájem propojeny, to znamená, že každý může komunikovat s každým.
Tato struktura je vyhovující, pokud mají všechny stanice stejné pracovní
pověření, a tedy i stejné přístupové oprávnění ke sdílení informací. Důležité
je, aby zvolené řešení VPN disponovalo účinnou metodou pro správu tunelů
(zabezpečených cest). Čím více cest má síť VPN, tím vyšší jsou náklady na
konfiguraci každé cesty. Má-li se navzájem spojit n stanovišť, je třeba
(n2-n)/2 spojení. Navíc je třeba konfigurovat n2-n koncových připojení k
definovaným cestám. S každou další dislokovanou stanicí značně rostou náklady
na konfiguraci. U 20 stanovišť se musí například spravovat 190 spojení a 380
koncových připojení cest, u 100 stanovišť už 4 950 spojení a 9 900 koncových
připojení cest.

Jak na to
Před vybudováním VPN sítě je nejprve třeba stanovit, jaké jsou místní
specifické požadavky, například:
počet uživatelů VPN,
používané techniky přístupu,
zda se uživatelé připojují do sítě nebo jsou připojeni přes pevný datový okruh,
očekávaný objem dat,
potřeba zálohovaného spojení,
v jaké míře kolísá vytížení sítě v průběhu pracovního dne.
Aby bylo možné odhadnout, jakou šířku pásma VPN síť potřebuje, musí správce
vědět, jak silně je síť zatížena a jaké aplikace takový objem dat vytvářejí.
Identifikace těchto nároků je obtížná zejména tehdy, vstoupí-li do hry sítě
mezi několika lokalitami nebo spojení přes internet. Vytížení sítě pak většinou
podléhá větším výkyvům. Dále je třeba zohlednit to, zda existují, nebo zda se v
dohledné době budou používat aplikace s vysokými požadavky na kvalitu služeb,
například přenos hlasu (VoIP).
Z toho vyplývá první otázka při projektování VPN sítě: jsou stávající spojení
pro dálkový provoz schopna zvládnout zatížení sítě? Kapacita WAN spojení je
často faktorem, který rozhoduje o efektivitě a přijatelnosti VPN. To platí
nejen pro virtuální privátní sítě mezi lokálními sítěmi (LAN to LAN), ale i pro
sítě na bázi komutovaných spojení. Projektant sítí by měl myslet i na to, aby
napojení na ISP bylo výkonné a aby k firemní síti byl zajištěn paralelní
přístup pro pobočky, domácí i externí pracovníky.

Struktura
Chce-li firma propojit několik lokalit, musí stanovit, zda spolu mají
rovnoprávně komunikovat vzdálené stanice, tedy zda se požaduje vícecestná
topologie. Hierarchická struktura může snížit zatížení VPN a je zpravidla tou
levnější variantou. Dalším důležitým faktorem je možnost úpravy zdrojů VPN,
neboť dostupná šířka pásma je často po krátké době vyčerpána. Při použití
složitějšího šifrování může být navíc nutné přejít na výkonnější hardware. Aby
nedošlo k přetížení routerů nebo firewallů, doporučuje se přesunout funkce VPN
na vyhrazenou bránu. Nevýhodou je to, že administrátor musí spravovat další
systém. Kdo chce, může tento úkol samozřejmě také svěřit poskytovateli
internetových služeb. Virtuální privátní sítě jsou nasazeny na různých úrovních
OSI modelu. Nejrozšířenější jsou řešení na 2. a 3. úrovni OSI modelu. VPN sítě,
které jsou umístěny na vyšších úrovních, jsou silně závislé na použitých
aplikacích, a tak nepřichází v úvahu pro implementaci v celé firmě. U VPN sítě
na 3. vrstvě se používá tzv. L3 Tunneling. V takové síti je šifrován celý
datový provoz IP. Běžné produkty k tomu používají IPSec. Alternativou jsou
sítě, které používají spojovou vrstvu (Layer 2). Jsou nezávislé na nadřazeném
síťovém protokolu. Tyto virtuální privátní sítě používají protokoly Point to
Point Tunneling Protocol (PPTP), Layer 2 Forwarding (L2F), Layer 2 Tunneling
Protocol (L2TP) nebo Generic Routing Encapsulation (GRE).
PPTP byl vyvinut firmou Microsoft a vychází z PPP (Point to Point Protocol).
Layer 2 Forwarding je konkurenčním návrhem firmy Cisco. Obě firmy se nakonec
sjednotily na novém standardu protokolu L2TP.

Jak funguje VPN
Uživatel pošle data na gateway, která data zašifruje a pošle je poskytovateli
internetového připojení. Šifrování ovšem může být za určitých okolností
provedeno již na stanici klienta.
Data jsou bezpečným tunelem přenesena veřejnou sítí, např. internetem, k
cílovému poskytovateli služeb.
Na opačném konci spojení dojde k opačnému procesu než na jeho začátku k
vyzvednutí dat od poskytovatele a k jejich dešifrování.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.