wirtualne sieci prytwane - <strong>VPN</strong>. Sieci tego typu
są alternatywą dla drogich lączy dzierżawionych, ponieważ mogą
wirtualnie zapewniać połączenie punkt-punkt. Sieci VPN zazwyczaj
- szyfrują swój ruch. Chociaż instnieją rodzaje tuneli, które formalnie
+ szyfrują swój ruch. Chociaż instnieją rodzaje tuneli (połączenia,
+ wewnątrz innego połączenia), które formalnie
są VPN, ale nie zapewniają tej warstwy szyfrowania. Korzyści jakie
płyną ze stosowania VPN to:
</p>
naszych potrzeb. Jeśli będziemy łączyć oddziały w firmie, to
wybierzemy podejscie <strong>Site-to-site</strong>, gdzie tunel
rozpoczyna się i kończy na routerach. Klienci nie są swiadomi tego,
- że ich ruch jest tunelowany (przechodzi przez wirtualne połączenie
- punkt-punkt). Drugim podejściem jest <strong>dostęp zdalny</strong>
+ że ich ruch jest tunelowany (pakiety IP, są przesyłane wewnątrz innej
+ transmisji IP). Drugim podejściem jest <strong>dostęp zdalny</strong>
gdzie np. pracownicy pracują zdalnie i powinni korzystać z tunelu
w trakcie pracy lub w momencie gdy potrzebują dostępu do konkretnego
zasobu w sieci firmowej. Tunel wówczas jest zestawiany pomiędzy
szerokopasmowych zapewniających dostęp do Intenetu. Wspomniane
zostały także sieci VPN.
</p>
+ <h1 id="3.8.vpnandipseconcepts">3.8. Koncepcje VPN oraz IPSec</h1>
+ <p>
+ Wirtualne sieci prywatne <strong>VPN</strong> są obecnie standardem
+ zapewnienia bezpiecznego zdalnego dostępu do zasobów przedsiębiorstw.
+ Sieci te wykorzystują publiczną infrastrukturę do przesyłania
+ szyfrowanych danych.
+ </p>
+ <p>
+ Jeśli mówimy o sieciach VPN, często mamy namyśli szyfrowany tunel.
+ Istnieje wyjątek od tej reguły. Protokół GRE firmy Cisco jest zwykłym
+ tunelem sieci IP, nie zapewnia warstwy szyfrowania, służy do
+ enkapsulowania protokołów IPv4 i IPv6 tworząc tym samym wirtualny
+ tunel punkt-punkt.
+ </p>
+ <p>
+ W przypadku technologii VPN firmy najczęściej same zajmują się
+ jej wdrażaniem wśród pracowników czy między oddziałami firmy, wówczas
+ do wyboru dla połączeń lokacja-lokacja mamy takie rozwiązania jak:
+ </p>
+ <ul>
+ <li>IPSec VPN</li>
+ <li>GRE przez IPSec</li>
+ <li>Cisco Dynamic Multipoint Virtual Private Network (DMVPN)</li>
+ <li>Interfejs wirtualnego tunelu IPsec (VTI)</li>
+ </ul>
+ <p>
+ Dla połączeń zdalnego dostępu możemy skorzystać z takich rozwiązań
+ jak:
+ </p>
+ <ul>
+ <li>Połączenie IPSec oparte na kliencie.</li>
+ <li>Bezklientowe połączenie SSL.</li>
+ </ul>
+ <p>
+ Jeśli firma nie posiada odpowiedniego personelu, który mógłby
+ wdrożyć usługi VPN może wówczas skorzystać z usług VPN oferowanych
+ przez usługowdawcę. Tego rodzaju sieci VPN operają się o
+ protokół MPLS rozszerzając jego działanie na warstwę trzecią.
+ </p>
+ <h2 id="3.8.2.vpntypes">3.8.2. Rodzaje sieci VPN</h2>
+ <p>
+ W przypadku zdalnego dostępu, mamy dwie opcje - możemy skorzystać
+ z przeglądarki (uwierzytelniając się na specjalnie przygotowanej do
+ tego stronie) zabezpieczając połączenie przy użyciu SSL. Wówczas
+ mówimy o <strong>połączeniu VPN bez klienta</strong>, połączenia
+ wychodzące z przeglądarki są zabezpieczone tego typu tunelem. Ten
+ tunel działa tylko i wyłącznie dla protokołów obsługiwanych z
+ przez przeglądarki.
+ </p>
+ <p>
+ Innym rodzajem zdalnego dostępu jest użycie klienta VPN, w przypadku
+ Cisco jest to program <em>Any Connect Secure Mobilty</em>.
+ Użytkownicy muszą zainicjować połączenie VPN i uwierzytelnić się
+ w bramie sieci VPN. Ruch uwierzytelnionych pracowników może być
+ kierowany do sieci firmowej w celu uzyskania dostępu do jej zasobów.
+ Oczywiście wszystko zależy od ustawionych tras. Oprogramowanie
+ klienta szyfruje ruch za pomocą protokolów IPSec lub SSL.
+ </p>
+ <p>
+ Połączenie VPN przy użyciu SSL ma dość duże ograniczenia - jest więc
+ dość rzadko stosowane. Tunele służące do dostępu zdalnego są
+ najczęściej realizowane przy użyciu klienta VPN z wykorzystaniem
+ szyfrowania IPSec.
+ </p>
+ <p>
+ Połączenia między routerami, a co za tym idzie między lokalizacjami,
+ wykorzystują szyfrowanie IPSec. Tego rodzaju połączenia VPN są
+ transparentne, użytkownicy sieci lokalnych nawet nie wiedzą, że ich
+ połączenia są szyfrowane i przekazywane przez tunel, w siedzibie
+ firmy brama VPN usuwa nagłówki, następnie deszyfruje i przekazuje
+ pakiet do sieci wewnętrznej.
+ </p>
+ <p>
+ Wadą połączeń VPN z wykorzystaniem szyfrowania IPSec jest zdolność
+ jedynie do przenoszenia ruchu <em>unicast</em>-wego. Taka zależność
+ powoduje, że protokoły routingu wykorzystujące adresy
+ <em>multicast</em> nie bedą mogły działać przez tunel. Rozwiązaniem
+ tego problemu jest wspomniany już wcześniej protokół GRE, choć tutaj
+ wadą tego protokołu jest brak warstwy bezpieczeństwa. Nie mniej
+ jednak możliwe jest umieszczenie wewnatrz tunelu IPSec danych
+ tunelu GRE. W tej technice używa się nazewnictwa
+ <strong>protokołu transportowego</strong> - protokołu faktycznie
+ używanego do przekazania pakietów,
+ <strong>protokół przewoźnika</strong> - protokół używany do noszenia
+ oryginalnego protokołu, w tym przypadku jest GRE oraz
+ <strong>protokół pasażera</strong> - protokół faktycznie niosący
+ dane, w przypadku protokołów routingu może to byc OSPF.
+ </p>
+ <p>
+ Połączenia lokacja-lokacja sprawdzają się w przypadku gdy oddziałów
+ jest kilka. Ponieważ bramy VPN oddziałów wymagały statycznej
+ konfiguracji każdego innego oddziału lub oddziału centralnego.
+ Rozwiązaniem tego ograniczenia może być użycie technlogii DMVPN,
+ która działa w technologii <em>Hub-and-spoke</em>. Lokalizacje
+ są konifigurowane przy użyciu wielopunktowej enkapsulacji generycznej
+ routingu (mGRE), wiec dodanie nowej lokalizacji wykorzysta tę
+ samą konfigurację. Natomiast bramy VPN w poszczególnych oddziałach
+ mogą wykorzystać informacje z lokalizacji centralnej do ustanowienia
+ tuneli VPN pomiędzy sobą. Technologia DMVPN wykorzystuje tunel
+ IPSec.
+ </p>
+ <p>
+ Innym uproszczeniem procesu konfigracji obsługi wielu lokalizacji i
+ zdalnego dostępu jest <strong>VTI</strong> - interfejs wirtualnego
+ tunelu IPsec. IPSec VTI może wysyłać i odbierać zaszyfrowanych ruch
+ zarówno <em>unicast</em> IP jak i <em>multicast</em> dzięki czemu
+ protokoły routingu są obsługiwane automatycznie i nie ma potrzeby
+ stosowania GRE.
+ </p>
+ <p>
+ Dostawcy usług MPLS mogą zapewnić klientom zarządzane rozwiązanie
+ VPN, wówczas za zabezpieczenie ruchu odpowiadać będzie dostawca.
+ Istnieją dwa rodzaje rozwiązań MPLS VPN:
+ </p>
+ <ul>
+ <li><strong>MPLS VPN Warstwy 3</strong> - dostawca usług uczestniczy
+ w kierowaniu klientów przez ustanowienie komunikacji równorzędnej
+ między ruterami klienta i routera dostawcy.</li>
+ <li><strong>MPLS VPN Warstwy 2</strong> - usługodawca nie jest
+ zanagażowany w routing klienta. Zamiast tego dostawca wdraża
+ usługę wirtualnej prywatnej sieci LAN (VPLS), aby emulować
+ wielodostępny segment sieci LAN Ethernet w sieci MPLS.
+ Routery klienta należą wówczas do tej samej sieci wielodostępowej.
+ </li>
+ </ul>
+ <h2 id="3.8.2.ipsec">3.8.2. IPsec</h2>
+ <p>
+ <strong>IPsec</strong> to standard definiuje sposób zabezpieczenia
+ VPN w sieciach IP. IPsec chroni i uwierzytelnia pakiety IP między
+ źródłem a miejscem docelowym.
+ </p>
+ <p>
+ IPsec zapewnia następujące podstawowe funkcje bezpieczeństwa:
+ </p>
+ <ul>
+ <li><strong>Poufność</strong> - IPsec wykorzystuje algorytmy
+ szyfrowania, aby uniemożliwić cyberprzestępcom odczytanie
+ zawartości pakietu.</li>
+ <li><strong>Integralność</strong> - IPsec używa algorytmów mieszania,
+ aby zapewnić, że pakiety nie zostały zmienione między źródłem a
+ miejsce docelowym.</li>
+ <li><strong>Uwierzytelnianie pochodzenia</strong> - IPsec używa
+ protokołu <strong>Internet Key Exchange</strong> do
+ uwierzytelnienia źródła i miejsca docelowego. Metody
+ uwierzytelniania, w tym korzystanie z klucz wstępnych (haseł),
+ certyfikatów cyfrowych lub certyfikatów RSA.</li>
+ <li><strong>Algorytm Diffie-Hellman</strong> - Bezpieczna wymiana
+ kluczy, wykorzystując różne grupy algorytmu DH.</li>
+ </ul>
+ <p>
+ IPsec składa się z pięciu różnych funkcji zabezpieczeń:
+ </p>
+ <ul>
+ <li><strong>Protokołu IPsec</strong> - tutaj mamy do wyboru: nagłówek
+ uwierzytelniania (AH), <em>Encapsulation Securty Protocol</em>
+ (ESP). AH uwierzytelnia pakiety warstwy 3, a ESP je szyfruje.
+ Kombinacja ESP+AH jest rzadko używana, gdyż nie jest w stanie
+ przejść przez NAT.</li>
+ <li><strong>Poufność</strong> - szyfrowanie zapewnia poufność pakietu
+ w.3. Do wyboru mamy DES, 3DES, AES oraz SEAL.</li>
+ <li><strong>Integralność</strong> - zapewnia, że dane dotrą w
+ niezmienionej postaci do miejsca docelowego za pomocą algorytmu
+ haszującego, takiego jak MD5 lub wariant SHA (SHA-256).</li>
+ <li><strong>Uwierzytelniania</strong> - Protokół IPsec używa usługi
+ Internet Key Exchange (IKE) do uwierzytelnienia użytkowników i
+ urządzeń, które mogą prowadzić komunikację niezależnie. IKE
+ używa kilku rodzajów uwierzytelnienia w tym nazwa użytkownika,
+ hasło, jednorazowe hasło, dane biometryczne, klucze wstępne (PSKs)
+ oraz certyfikaty RSA.</li>
+ <li><strong>Diffie-Hellman</strong> - Protokół IPsec używa algorytmu
+ DH w celu udostępnienia metody wymiany klucz publicznych dla
+ dwóch peerów w celu ustanowienia wspolnego tajnego klucza.
+ Isnieje kila różnych grup do wyboru, w tym DH14, 15, 16 i DH 19, 20,
+ 21 i 24. DH1, 2 i 5 nie są już zalecane.</li>
+ </ul>
+ <p>
+ Skojarzenia zabezpieczeń - SA, są podstawowym element składowym
+ protokołu IPsec. Podczas ustanawiania łącza VPN, urządzenia peerów
+ muszą wynegocjowawać powyższe parametry, aby mieć zgodne SA. Jeśli
+ paramety zostaną ustalone wówczas dochodzi do zestawienia tunelu.
+ </p>
+ <h2 id="3.8.summary">3.8. Podsumowanie</h2>
+ <p>
+ W tym rozdziale zapoznaliśmy się z koncepcjami VPN dowiedzialiśmy
+ się czym są tak naprawdę wirtualne sieci prywatne. Omówiliśmy ich
+ rodzaje, w których to używa się protokołu IPsec, który zapewnia
+ bezpieczeństwo transmisji pakietów w.3. Standard ten tutaj również
+ został omówiony. Poznaliśmy kilka dodatkowych technologii,
+ pozwalających lepsze zarządzanie wieloma tunelami typu
+ lokacja-lokacja.
+ </p>
</div>
</body>
</html>
projects / mmdev.git / commitdiff