Výstavba bezpečné a funkční infrastruktury VPN

Úroveň bezpečnosti a funkčnosti jakékoli infrastruktury VPN ovlivňuje několik faktorů, které je třeba vzít v úvahu...


Úroveň bezpečnosti a funkčnosti jakékoli infrastruktury VPN ovlivňuje několik
faktorů, které je třeba vzít v úvahu při výběru vhodného řešení. Na jedné
straně může účinnou ochranu před nežádoucími přístupy poskytnout pouze přijetí
rozsáhlé bezpečnostní strategie, na straně druhé by přitom neměla být opomenuta
ani snadnost správy vybudované infrastruktury.
Nárůst využití řešení VPN jako způsobu připojení externích uživatelů a poboček
k firemní síti lze odůvodnit především nižšími náklady v porovnání s pevnými
linkami. Tento vývoj pozitivně ovlivnila mj. standardizace přenosového
protokolu IPSec (Internet Protocol Security). Soustava protokolů vyvinutá
standardizační organizací IETF (International Engineering Task Force) je
složena z prvků, které autentizují uživatele v rámci TCP/IP spojení, zaručují
důvěryhodnost informací a integritu vyměňovaných dat.
IPSec se prosadil i proto, že datové pakety nejprve komprimuje a poté šifruje.
To vede k enormnímu zrychlení přenosu. Kromě toho výměna dat u IPSec probíhá na
3. vrstvě modelu OSI, což znamená, že protokol může být implementován nezávisle
na aplikacích, které v síti běží.
Mnozí výrobci bezpečnostních řešení, jako např. Symantec, Nokia, Sonicwall nebo
Check Point, nabízejí v současné době VPN řešení na bázi IPSec pro všechny
oblasti a požadavky od malých firem a domácích kanceláří přes středně velké
podniky až po velké koncerny s mnoha filiálkami po celém světě. Ale ne všechny
VPN architektury poskytují stejný standard ohledně bezpečnosti a administrace.
Rozdíly jsou především v ochraně klientů, v managementu celé VPN architektury a
ve volbě adekvátní šifrovací techniky.

Ochrana desktopů
Ochrana klientských počítačů, ze kterých se uživatelé z vnějšku připojují do
firemní sítě, je důležitá, protože právě zde může číhat jisté bezpečnostní
riziko. VPN spojení je samo o sobě poměrně bezpečné, hacker by se tedy
pravděpodobně pokusil proniknout do systému přes internetové spojení externího
uživatele. Oblíbeným cílem napadání jsou slabiny internetového prohlížeče. Přes
něj může vetřelec za určitých okolností sledovat celý pevný disk a v nejhorším
případě využít VPN spojení své oběti k vytvoření přístupu do firemní sítě.
Aby bylo možno toto riziko vyloučit, měly by být při výstavbě VPN sítí vybaveny
všechny klientské počítače osobními firewally. Ty dodává za příplatek např.
firma Check Point. Ostatní výrobci sahají po produktech jiných producentů,
protože jejich vlastní řešení nelze do VPN struktury kompletně integrovat.
Za určitých okolností však dochází při administraci instalovaných osobních
firewallů k problémům. Pro administrátora je samozřejmě výhodné, když může
spravovat osobní firewall klientského počítače centrálně. Pravidla tu mohou být
centrálně zadávána, rozdělována a kontrolována. Když se externí uživatel
přihlásí u VPN brány, jsou automaticky nahrána nová nastavení. Pokud tato
možnost není k dispozici, je správa firewallu u klienta náročnější.
Bezpečnost klientského počítače se zvýší i použitím tzv. systému IDS (Intrusion
Detection System), s jehož pomocí jsou ihned rozpoznány útoky zvenčí. Dobrou
kombinaci osobního firewallu a IDS nabízí firma ISS (Internet Security
Systems). V současné době ale používá vlastní konzoli, kterou doposud nelze
integrovat s firewallovými konzolemi jiných výrobců.

Možnosti uživatelů
Při návrhu architektury VPN by měl být kladen důraz na to, aby externí
uživatelé mohli pro svou práci využívat odpovídající aplikace z firemní sítě.
Určité aplikace nedovolí práci z počítačů, jejichž IP adresy nejsou v
definovaném rozsahu. Problém nastává v případě, že firmy používají tunelování
přes NAT (Network Address Translation).
IPSec přiřadí každému uživateli jasně definovanou veřejnou IP adresu. Protože
je počet těchto adres omezený, používá řada firem technologii NAT, aby tak bylo
možno přiřadit všem počítačům ve vlastní síti jednu společnou veřejnou IP
adresu. Interní IP adresy tak nejsou viditelné zvenčí. Nevýhodou technologie
NAT je skutečnost, že jsou IP adresy přepisovány. Když se například externí
uživatel přihlásí prostřednictvím VPN do firemního systému a doma používá
router s funkcí NAT, je současně přenesena i veřejná IP adresa, která není v
povoleném rozsahu IP adres.
Tento problém lze obejít, když systém VPN nabízí možnost přidělit externímu
uživateli virtuální interní IP adresu. Uživatel poté po přihlášení vypadá jako
lokální uživatel a má přístup ke všem aplikacím. Protože firmy z finančních
důvodů stále častěji připojují svá externí pracoviště přes providery s
dynamickým přidělováním adres, je výhodou, pokud zvolené řešení VPN podporují
site-to-site propojení s protější stanicí, jíž se přiděluje dynamická IP adresa.

Šifrování
Důležitou roli hraje při výstavbě systému VPN také šifrování datového provozu.
IPSec k tomuto účelu používá protokol IKE (Internet Key Exchange), který
provádí výměnu klíče a který je zodpovědný za šifrování a autentizaci protější
stanice. I když většina poskytovatelů standard IKE podporuje, existují často
malé, pro jednotlivé výrobce typické odchylky při jeho implementaci. Proto by
měly být předem dokonale otestovány určité kombinace VPN klientů a VPN serverů.
To předem vyloučí případné problémy při instalaci.
Pokud je propojení mezi VPN klientem a serverem již k dispozici, doporučuje se
nevolit žádná klasická uživatelská jména a statická hesla, protože je lze
snadno vysledovat, ať již prostřednictvím různých špehovacích nástrojů na
klientu, čmuchalů v síti nebo jednoduchým odkoukáním. Bezpečné je pouze
používání digitálních certifikátů na bázi PKI infrastruktury. Další možností je
využití biometrických technologií. Protože však jsou tyto technologie relativně
mladé, existuje zde stále jisté tzv. zbytkové riziko.

Dynamická hesla
Široce rozšířené je naproti tomu užívání dynamických hesel. Technicky nejdále
je v této oblasti zřejmě firma RSA. Ace Server generuje ve spolupráci s
tokenem, který je předán externímu uživateli, v předem stanoveném časovém
intervalu stále se měnící hesla. Pomocí kombinace uživatelských jmen,
statických a dynamických hesel je tak dosaženo vysoké úrovně bezpečnosti.
Nepovolený přístup do firemní sítě je pak téměř nemožný.

Možnost volby: SSL, nebo VPN
Pro zajištění důvěrnosti a integrity datového přenosu jsou používány jak
virtuální privátní sítě, tak i SSL (Secure Socket Layer). U technologie SSL
probíhá výměna dat na transportní vrstvě (Layer 4). Tato technologie vyvinutá
Netscapem je koncipována pro komunikaci klient/server a je vždy používána v
závislosti na aplikaci. Uživatel, který se do sítě připojí zvnějšku, může
využívat pouze aplikace na straně serveru. Změna aplikace během jedné a téže
SSL session není možná.
VPN spojení jsou naproti tomu nezávislá na aplikacích. Výměna dat probíhá na
síťové úrovni (Layer 3) a lze tak spojit buď dvě sítě nebo klienta s jednou
sítí. Pokud mají být propojeny firemní pobočky a/nebo mobilní uživatelé s
firemní centrálou, hodí se vždy více spojení VPN než SSL, především protože
jedno a totéž spojení může být využíváno větším množstvím aplikací.
Pokud ale má být umožněno nějaké neznámé protější stanici užívání firemní
aplikace, jako je tomu např. při objednávání produktů nebo služeb přes
internet, je SSL jednoznačně lepší volbou. S jeho pomocí mohou být přes
internet zasílána i citlivá data jako čísla kreditních karet a bankovních kont,
aniž by bylo umožněno jejich prozrazení někomu zvenčí. Předností spojení SSL je
také skutečnost, že může být navázáno z jakéhokoli terminálu, aniž by se
stanice na opačných koncích komunikačního kanálu musely znát.

Dva módy u IPSec
IPSec může být provozován buď v transportním nebo tunelovacím módu. V
transportním módu je šifrována pouze část dat transportovaného paketu, zatímco
IP header zůstává nezašifrovaný. Tento postup je používán k zasílání velmi
citlivých informací vždy pouze mezi dvěma klienty. V tunelovacím módu je datový
paket nejprve celý zašifrován a poté přenesen. Aby ho protější stanice našla,
obdrží od IPSec nový IP header. Tunelovací mód je používán u většiny VPN
spojení.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.