Sieci VPN

SSL i IPSec

Pierwsze sieci zdalnego dostępu VPN były przeznaczone dla

wąskiego grona osób i udostępniały ograniczony fragment zasobów

sieci korporacyjnej. Realizowane były poprzez zestawienie połączenia

dial-up z modemem podłączonym do firmowego serwera zdalnego

dostępu RAS (Remote Access Server). Sieć była udostępniana po

podaniu prawidłowego identyfikatora i hasła. Połączenia te były

uważane z natury za bezpieczne i rzadko wykorzystywano

szyfrowanie. Za jedyną metodę podsłuchu przyjmowano fizyczne

podpięcie się do linii telefonicznej. Z czasem zaczęto wykorzystywać

proste algorytmy kryptograficzne. Wraz ze wzrostem popularności

zdalnego dostępu, konieczne było inwestowanie w kolejne modemy

dostępowe i serwery RAS.

Rozwój sieci VPN

Zestawianie połączeń telefonicznych (szczególnie ISDN) było

kosztowne. Zaczęto poszukiwać alternatywnych metod dostępowych.

Idealnym rozwiązaniem okazał się Internet, który stał się popularny i

wszechobecny. Jednakże w tym momencie pojawił się problem -

bezpieczeństwo danych transmitowanych przez ogólnodostępną sieć.

W tym celu stworzono różne protokoły, m.in. PPTP, L2TP czy IP

Security. Ze względu na stosowanie silnej kryptografii i rozbudowane

uwierzytelnianie największą popularność zyskał IP Security (RFC 2401

- 2411).

Powszechność dostępu szerokopasmowego sprawiła, że dzisiejszy

zdalny użytkownik nie odczuwa dyskomfortu związanego z

opóźnieniami w interakcji z odległym systemem, znanego wcześniej

przy połączeniach wąskopasmowych. Tradycyjne systemy RAS

odchodzą w cień, ustępując miejsca wirtualnym sieciom prywatnym

VPN (Virtual Private Network) z protokołami IPSec oraz SSL. W

sieciach zdalnego dostępu mogą być przesyłane nie tylko dane, ale

również głos i wideo. Mogą być one wykorzystywane do świadczenia

takich usług, jak płatny dostęp do filmów, płatnej telewizji i innych

usług o ograniczonym dostępie.

Planując umożliwienie zdalnego dostępu do sieci prywatnej, należy

rozpatrywać to głównie pod kątem stworzenia interfejsu do połączeń z

Internetem oraz zapewnienia w nim bezpieczeństwa dla naszych danych.

Istnieją różne metody dostępu do Internetu: xDSL, modemy kablowe, LMDS,

dostęp satelitarny, łącza dzierżawione ATM, FR czy Metro Ethernet. Korzyścią z

zestawiania sieci IPSec/SSL VPN poprzez ogólnodostępną sieć

teleinformatyczną jest obniżenie kosztów zdalnego dostępu do sieci

firmowych, w stosunku do rozwiązań opartych na liniach wydzwanianych lub

dzierżawionych, gdyż połączenia są nawiązywane jedynie do najbliższego

dostawcy Internetu.

Zastosowanie sieci VPN jako skalowanego rozwiązania zdalnego dostępu

przyczynia się do wzrostu produktywności, decentralizacji oraz uniezależnienia

pracownika od miejsca pracy. Wdrożenie telepracy podnosi atrakcyjność

pracodawcy i pozwala na pozyskanie specjalistów mniejszym kosztem.

Zgodnie z definicją VPN Consortium wirtualna sieć prywatna jest siecią

przekazu danych korzystającą z publicznej infrastruktury

telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania i

procedur bezpieczeństwa zachowuje poufność danych.

Istnieją trzy rodzaje sieci VPN: tzw. zaufane, bezpieczne oraz hybrydowe,

będące połączeniem dwóch poprzednich. Należy zauważyć, że zaufane

sieci VPN oraz bezpieczne VPN są zupełnie odmiennymi technologiami.

Zdarza się bowiem, że są one mylnie ze sobą utożsamiane.

Pierwsze sieci VPN były tworzone poprzez dzierżawę obwodów

wirtualnych od dostawcy telekomunikacyjnego. Mogły być

wykorzystywane w taki sam sposób, jak kable fizyczne w sieci lokalnej.

VPN jako sieć zdalnego dostępu

Ze względu na to, że trasa zestawionych (dzierżawionych)

obwodów wirtualnych przechodzi przez współdzielone urządzenia

przełączające, istnieje zagrożenie podsłuchem transmisji. W założeniu

klient sieci VPN obdarza zaufaniem dostawcę, że ten zachowa

integralność i poufność przekazu - stąd zaufane sieci VPN. Sieci te

mogą być tworzone w warstwie 2. (obwody ATM, Frame Relay,

transport ramek warstwy 2. z zastosowaniem MPLS - Multi Protocol

Label Switching) lub warstwie 3. (sieci BGP/MPLS wg RFC 2547, w

których BGP przesyła informacje o trasie VPN wyznaczonej w sieci

dostawcy, a MPLS transportuje ruch pomiędzy punktami VPN). Aby nie

odczuwać opóźnień w pracy ze zdalnym systemem, dostawca

powinien zapewnić odpowiednią jakość usług (Oos) zestawionego

połączenia. W sieciach tych klient może utrzymywać swój schemat

adresowania IP, a nawet ruting.

Dbałość o bezpieczeństwo sieci i transmitowanych danych wymusza

stosowanie bezpiecznych sieci VPN. Dane transmitowane na drodze

pomiędzy zdalnym użytkownikiem a siecią prywatną są przesyłane w

formie zaszyfrowanej, tworząc tzw. tunel. Wymienianych informacji nie

można odczytać ani w sposób niezauważony zmienić ich zawartości.

Bezpieczne sieci VPN mogą być tworzone na trzy sposoby: IPSec z

kodowaniem, L2TP (Layer 2 Tunneling Protocol) z wykorzystaniem

zabezpieczeń IPSec - RFC 3193 oraz SSL/TLS VPN.

IPSec jest obecnie dominującym protokołem w bezpiecznych sieciach

VPN, w przeciwieństwie do L2TP. Coraz większą popularność zyskuje

SSL VPN.

Bezpieczny VPN zabezpiecza dane, ale nie zapewnia niezmienności

zestawionej trasy i parametrów transmisji. Z kolei zaufany VPN gwarantuje

zachowanie odpowiednich parametrów transmisji, np. Oos, lecz nie chroni

przed podsłuchem i zmianą danych. Najlepszym rozwiązaniem jest stworzenie

sieci hybrydowej VPN. Bezpieczeństwo może być zapewnione albo przez

użytkowników końcowych sieci VPN (np. z wykorzystaniem oprogramowania

szyfrującego), albo przez dostawcę zestawiającego wirtualne połączenie. Wielu

producentów w swoich rozwiązaniach sprzętowych umożliwia już tworzenie

sieci hybrydowych. Scenariusz wdrożenia wygląda najczęściej tak, że

przedsiębiorstwo umożliwia swoim zdalnym użytkownikom zestawienie

zaufanej sieci VPN. Gdy mobilny użytkownik ma dostęp do danych, które

powinny być chronione, jest zestawiany bezpieczny VPN. Bezpieczny VPN może

być podzbiorem zaufanej sieci VPN.

Tworząc bezpieczne sieci VPN, należy pamiętać o tym, że:



ruch pomiędzy użytkownikami powinien być szyfrowany i

uwierzytelniany;



część protokołów wykorzystywanych w VPN przeprowadza

uwierzytelnienie, ale nie szyfrowanie;



poziom i mechanizmy bezpieczeństwa powinny być zgodne po dwóch

stronach ustanawianego tunelu;



nikt poza administratorem sieci nie powinien mieć możliwości zmiany

parametrów bezpieczeństwa.

Oprogramowanie klienckie nawiązuje połączenie przez Internet do bramy

IPSec VPN, po czym inicjuje procedurę wymiany kluczy IKE (Internet Key

Exchange). Po pomyślnym uwierzytelnieniu zdalnej maszyny, jest

zestawiany tunel VPN. Sieć VPN może pracować w dwóch trybach:



- transportowym, w którym w postaci zaszyfrowanej jest przesyłany

fragment należący do warstwy transportowej;



- tunelowym, gdzie jest szyfrowany cały pakiet. IPSec niejako umieszcza

oryginalny pakiet w swoim pakiecie. Pozwala to na przesyłanie przez

Internet protokołów nierutowalnych, jak NetBeui czy SNA (Systems

Network Architecture).

VPN z protokołem IPSec

IPSec VPN używa powszechnie przyjętych algorytmów kryptograficznych:

DES, 3DES, AES, RC4 oraz zapewniających integralność danych: MD5, SHA-

1. Może również wykorzystywać mechanizm IKE z certyfikatami cyfrowymi

(X.509). Po jednorazowym utworzeniu tunelu IPSec/L2TP pomiędzy

odległymi maszynami, może być zestawiana dowolna liczba połączeń. IPSec

funkcjonuje na warstwie sieci modelu OSI. Sporym utrudnieniem w

stosowaniu IPSec jest brak pełnej mobilności użytkowników.

Po zestawieniu IPSec VPN sieć korporacyjna jest praktycznie bezbronna

wobec intruzów. Ewentualne upowszechnienie się NAC (Networc Acces

Control) może zwiększyć bezpieczeństwo. Sprawdzana jest wówczas

obecność oprogramowania antywirusowego, uaktualnień systemu

operacyjnego na zdalnej maszynie.

Prawdą jest, że IPSec i SSL są różnymi technikami. Łączy je to, że

obydwie służą temu samemu celowi: umożliwieniu i kontroli

dostępu użytkowników zdalnych do sieci, jej zasobów i aplikacji.

IPSec oferuje bezpieczną, szyfrowaną komunikację na poziomie

IP. Jest on niezależny od aplikacji. Każda aplikacja korzystająca z

protokołu IP może komunikować się za pośrednictwem sieci IPSec

VPN. Chronione są wszystkie pakiety wymieniane pomiędzy

zdalnymi sieciami lub hostami, a brama IPSec jest zlokalizowana

na brzegu sieci prywatnej.

IPSec VPN kontra SSL VPN

SSL definiuje bezpieczny mechanizm wymiany zaszyfrowanych danych

pomiędzy aplikacjami, na trasie od zdalnego użytkownika do bramy SSL. Jest

niezależny od protokołów niższych warstw, takich jak IP. Jednak nie wszystkie

aplikacje mogą być udostępniane za jego pośrednictwem. Odpowiednia usługa

powinna mieć możliwość prezentacji danych, np… W przeglądarce

internetowej, transmisji danych przez bramę SSL VPN, oraz pozwalać na

interakcję pomiędzy klientem a serwerem aplikacji, zlokalizowanym wewnątrz

sieci prywatnej.

Za pomocą IPSec VPN zdalny komputer uzyskuje dostęp do całej sieci

prywatnej, podczas gdy w SSL VPN tylko do konkretnych usług i aplikacji

zlokalizowanych wewnątrz tej sieci.

Konieczność wspierania instalacji i konfiguracji oprogramowania na zdalnych

maszynach może podnosić koszty funkcjonowania zdalnego dostępu. Dlatego

w ofercie niektórych producentów znajduje się sprzętowy klient IPSec VPN.

Niewątpliwą zaletą technologii SSL VPN jest możliwość współpracy ze

standardowymi przeglądarkami internetowymi. Znika występujący w IPSec

problem instalacji oprogramowania klienckiego na zdalnej maszynie. Brak

dedykowanego klienta ogranicza jednak możliwość współpracy tylko do

niektórych aplikacji. Ponadto praca w trybie „cienkiego” klienta, klient/serwer

lub z aplikacjami niewspółpracującymi z przeglądarkami wymaga pobrania i

uruchomienia agenta: apletu Java, kontrolki ActiveX itp… Rozszerzenia te

mogą obniżać poziom bezpieczeństwa. Ograniczenia mogą sprawiać, że SSL

VPN nie będzie spełniać wszystkich wymagań użytkowników

przyzwyczajonych do pełnego dostępu do zasobów sieci i aplikacji.

Rozwiązania VPN powinny oferować centralny system zarządzania

regułami bezpieczeństwa, nadzorujący dostęp do zasobów sieci, czas

„życia” certyfikatów, algorytmy kryptograficzne, klucze. W SSL VPN

funkcję tę pełni brama SSL lub SSL Proxy.

W momencie zestawienia połączenia IPSec VPN zdalny komputer staje się

częścią sieci prywatnej. Z tego powodu wdrożenie rozwiązania IPSec jest

większym wyzwaniem. Należy zapewnić sprawny przydział adresów (np…

DHCP) i ruting, z uwzględnieniem zdalnych maszyn. W połączeniach IPSec

są wykorzystywane dwa adresy IP: zewnętrzny - funkcjonujący w sieci

operatora oraz wewnętrzny - funkcjonujący wewnątrz sieci prywatnej.

Konieczne są: wyznaczenie uprawnień dla określonych grup zdalnych

użytkowników oraz przyporządkowanie im dostępnych zasobów:

katalogów, serwerów, portów.

Problem ten nie istnieje przy protokole SSL, gdyż funkcjonuje on

powyżej warstwy IP. Pozwala to również uniknąć problemów przy

przejściu przez występujące po drodze serwery NAT (Network Address

Translation) i PAT (Port Address Translation).

Ze względu na to, że brama SSL VPN znajduje się zazwyczaj za

zaporą sieciową, konieczne jest zapewnienie dodatkowej ochrony sieci

prywatnej. Jeżeli pozwala na to budżet firmy, dobrym rozwiązaniem

jest umieszczenie bram IPSec i SSL w strefie zdemilitaryzowanej DMZ

(DeMilitarized Zone). Wiele rozwiązań sprzętowych łączy bramę VPN i

zaporę ogniową.

IPSec posługuje się dwufazowym mechanizmem wymiany kluczy IKEv1

(Internet Key Exchange). Mogą być nimi certyfikaty cyfrowe X.509, RSA

(SecurID) użytkowników i urządzeń, a także tajne klucze (Pre-shared

Secrets), ustalane ręcznie. Mechanizm IKEv1 jest dosyć złożony, dlatego

należy się spodziewać wdrożenia jego nowszej i prostszej wersji,

zaproponowanej przez IETF - IKEv2. Alternatywną metodą jest

uwierzytelnianie XAUTH (Extended Authentication), w której jest wymagana

znajomość identyfikatora i hasła. W tym celu mogą być wykorzystane

zewnętrzne systemy, np… RADIUS (Remote Access Dial-In User Service),

LDAP (Lightweight Directory Access Protocol), TACAS+, MS Active Directory

lub Smart Cards.

Serwery SSL są uwierzytelniane za pomocą certyfikatów

cyfrowych. Klient może natomiast wykorzystywać dowolną metodę

uwierzytelniania: certyfikaty, hasła oraz tokeny. Z tego powodu SSL

jest zdecydowanie lepszym i bezpieczniejszym rozwiązaniem w

przypadku klientów o ograniczonym zaufaniu lub tam, gdzie

zainstalowanie certyfikatów może przysparzać trudności: w

komputerach kooperantów, domowych PC, kawiarenkach

internetowych itp… W przeciwieństwie do IPSec procedura wymiany

kluczy podczas jednej sesji jest przeprowadzana wielokrotnie.

IPSec udostępnia dany fragment sieci całej grupie zaufanych

użytkowników. Ze względu na to, że SSL VPN funkcjonuje w warstwie

aplikacji, możliwa jest kontrola dostępu nie tylko w przypadku

konkretnych użytkowników, lecz także poszczególnych aplikacji,

wewnętrznych adresów URL, dostępnych komend oraz filtrowania

treści. Oczywiście, konfiguracja i modyfikacja zasad dostępu są

wtedy bardziej pracochłonne.

Połączenia IPSec/SSL VPN mogą być zestawiane pomiędzy

użytkownikami z wykorzystaniem dedykowanych urządzeń

(appliances), serwerów, ruterów, zapór z wbudowaną obsługą VPN

lub komputerów osobistych.

Projektując sieć, należy zdecydować, kiedy korzystać z IPSec, a kiedy

z SSL. IPSec VPN jest obecnie standardem de facto przy tworzeniu

sieci zdalnego dostępu. Stanowi on dobre rozwiązanie dla połączeń

pomiędzy oddziałami (site-to-site) lub użytkowników potrzebujących

pełnego dostępu do usług zdalnej sieci (np… Administratorów).

Jednak w przypadku mało wymagających użytkowników, a także w

celu zapewnienia wysokiego poziomu bezpieczeństwa, bardziej

zasadne wydaje się stosowanie SSL VPN. Wszystkie powyższe

wymagania jest w stanie pogodzić hybrydowa sieć IPSec/SSL VPN.

Produkt VPN powinien zapewniać:



system zarządzania kontrolujący dostęp do serwerów;



obsługę aplikacji korzystających z różnych portów TCP;



sprawdzanie konfiguracji zdalnego komputera pod względem

bezpieczeństwa;



sprawdzanie, czy na zdalnej maszynie nie ma oprogramowania

szpiegującego (spyware), które mogłoby przechwycić wszystkie

dane, łącznie z hasłami, kluczami itp…;



silną kryptografię i uwierzytelnianie;



po rozszyfrowaniu transmisji brama powinna chronić sieć wewnętrzną

przed atakami, które mogą przychodzić w ruchu od zdalnego

użytkownika (wirusy, robaki, konie trojańskie itp…);



zabezpieczenie przed atakami (DoS, spoofing itp…);



wyłączenie buforowania danych (jest przesyłany metaznacznik „NO

CACHE”);



czyszczenie maszyny klienckiej z wszelkich danych pobranych

podczas zdalnej sesji;



odpowiednią wydajność szyfrowania.

W obydwu typach sieci VPN jest możliwe zastosowanie algorytmów

szyfrujących DES i 3DES. Niektóre rozwiązania wspomagają już

najnowszy standard AES (Advanced Encryption Standard), pozwalający

na szyfrowanie przy użyciu klucza 256-bitowego. W produktach SSL VPN

są spotykane algorytmy szyfrowania RSA, RC-4. Chcąc zapewnić

poufność transmisji, należy stosować klucze o odpowiedniej długości. Im

klucze są dłuższe, tym trudniej odszyfrować wiadomość. Aby zapewnić

wysoki stopień poufności (silne szyfrowanie), należy stosować:



dla algorytmów asymetrycznych - klucze co najmniej 1024-bitowe,



dla algorytmów symetrycznych - klucze powyżej 124 bitów.

W przypadku sieci SSL VPN wskazane jest stosowanie protokołu TLSv1

(Transport Layer Security), który oferuje większe bezpieczeństwo niż

starszy SSLv3.

Ochrona przed atakami

Ataki określane mianem Man-in-the-Middle są możliwe, gdy atakujący

uzyska dostęp do przesyłanych pakietów. IPSec zapobiega wszelkim

modyfikacjom pakietów. Często jednak występują konflikty w trakcie

przesyłania pakietów przez serwer translacji adresów NAT (Network Address

Translation), który modyfikuje pakiety, zamieniając adresy publiczne na

prywatne. Tylko niektóre produkty IPSec zawierają odpowiednie modyfikacje,

radząc sobie z tą wadą (IPSec NAT Traversal). Problem ten nie dotyczy SSL,

gdyż rozwiązanie to opiera się na pakietach TCP. Numer sekwencji zawarty w

zaszyfrowanym pakiecie zapobiega wszelkim wtrąceniom obcych danych, a

uwierzytelnianie stosowane przez TLS - zmianom treści.

Atak typu DoS ('Denial-of-Service) ma na celu zablokowanie bądź

utrudnienie dostępu do określonej usługi lub aplikacji, np… Poprzez zalanie

pakietami (packet floods). W tym przypadku IPSec radzi sobie lepiej, gdyż

operuje datagramami, które można łatwiej przetworzyć niż pakiety TCP SYN.

SSL jest bardziej podatne na ataki (np… TCP SYN Flooding) ze względu na to,

że korzysta z sesji TCP, których zestawienie wymaga więcej czasu i zasobów.

Niektóre produkty VPN sprzętowo przyspieszają obsługę sesji i dzięki temu

są mniej podatne na ataki DoS.

IPSec jest również bardziej odporny na podsyłanie powtórzonych pakietów

(Message Replay), gdyż ramki poza kolejnością są wykrywane i odrzucane

na niższym poziomie stosu protokołów. W SSL są one wykrywane przez

mechanizm sesji TCP lub SSL Proxy.

Komputery zdalnych klientów mogą stanowić dwojakiego rodzaju zagrożenie, tzn. być

zarówno celem, jak i źródłem ataku. Należy wymagać od użytkowników przestrzegania

ogólnych zasad bezpieczeństwa: używania zapór ogniowych, systemów

antywirusowych, uwierzytelniania, kontroli dostępu itp… Część oprogramowania

klienckiego IPSec zawiera wbudowane mechanizmy kontroli bezpieczeństwa maszyn

użytkownika. Ze względu na to, że połączenia SSL VPN mogą być nawiązywane z

miejsc publicznych, wymagają szczególnej ochrony, którą można zapewnić poprzez

stosowanie m.in… Takich metod, jak:



usuwanie podczas kończenia sesji wszystkich zbuforowanych danych: stron WWW,

kluczy, cookies, plików tymczasowych, schowka systemowego,



uruchamianie apletów sprawdzających otwarte porty oraz włączanie oprogramowania

antywirusowego,



zablokowanie wykonywania niektórych komend, np… Kopiowania, zapisywania.

Bezpieczeństwo klienta

Zdecydowana większość (70-95%) użytkowników firmowych systemów

zdalnego dostępu korzysta wyłączne z dostępu do poczty, plików, zarządzania

informacją osobistą (PIM - Personal Information Management), intranetu oraz

aplikacji biurowych, zlokalizowanych na zakładowym serwerze.

Do realizacji tych usług wystarczą rozwiązania oparte na SSL VPN. To

technologia tańsza i w założeniu bardziej niezawodna od innych. Tradycyjne

usługi RAS oraz IPSec VPN mogą być w dużym stopniu zastąpione

wdrożeniem SSL VPN i usług terminalowych.

Optymalnym rozwiązaniem jest udostępnienie wszystkim pracownikom

dostępu SSL VPN, a tylko wyznaczonym - IPSec VPN.

Każdemu wg potrzeb

KONIEC