Wirtualne sieci prywatne

Działanie wirtualnych sieci prywatnych

Wirtualna sieć prywatna jest środowiskiem komunikacyjnym, w którym stosuje się kontrolę dostępu, aby zezwolić na nawiązywanie połączeń tylko w ramach określonej grupy użytkowników. Tworzy się ją poprzez swego rodzaju partycjonowanie wspólnego medium transmisyjnego. Medium to świadczy sieci usługi bez wyłączności. Oto prostsza, bardziej adekwatna i mniej formalna definicja sieci VPN:

Sieć VPN jest siecią prywatną, zbudowaną w ramach infrastruktury sieci publicznej, takiej jak ogólnoświatowa sieć Internet.

Choć sieci VPN mogą być tworzone z myślą o rozwiązaniu pewnych konkretnych problemów biznesowych lub technologicznych, zaawansowane rozwiązania VPN zapew­niają obsługę połączeń typu dial-in i innych technik zdalnego dostępu oraz obsługę wielu zdalnych lokalizacji, połączonych za pośrednictwem linii dzierżawionych (lub innych dedykowanych łącz). Dają one także dostawcom usług VPN możliwość oferowania wielu rodzajów usług, a także możliwość obsługi nie tylko połączeń wewnątrz sieci VPN, lecz również między sieciami, w tym do sieci Internet.

Zalety sieci VPN

Wirtualne sieci prywatne mają wyraźne zalety w stosunku do wcześniej stosowanych form kodowania kanałów i innych, alternatywnych rozwiązań:

• Pojedyncza technologia wirtualnych sieci prywatnych może zapewnić ochronę danych wielu aplikacjom TCP/IP. Szyfrowanie na poziomie warstwy aplikacji wymaga zastosowania różnych metod dla poszczególnych usług. Istnieje także możliwość obsługi wielu protokołów, dzięki tunelowaniu IP z wykorzystaniem protokołu tunelowania dwupunktowego (PPTP), protokołu tunelowania warstwy 2 (L2TP) lub protokół przekazywania warstwy 2 (L2F). Zapewnianie szyfrowania wielu aplikacjom TCP/IP jest szczególnie istotne w środowiskach, w których chcemy zapewnić bezpieczny dostęp do sieci naszym partnerom bądź zdalnym pracownikom.

• Usługi szyfrowania mogą być wykorzystywane we wszelkiej komunikacji TCP/IP między zaufanym klientem, a serwerem wirtualnej sieci prywatnej. Ma to tę zaletę, że szyfrowanie jest niewidoczne dla użytkownika końcowego. Ponieważ szyfrowanie jest włączone, serwer może wprowadzić je w życie.

Rodzaje sieci VPN

Sieć VPN definiowana jest jako system łączności firmy, wykorzystujący sieć o współdzielonej infrastrukturze i działający tak samo, jak sieci prywatne (rysunek 18.1). Wspólną infrastrukturę może stanowić sieć dostawcy usług, sieć Frame Relay, szkielet sieci ATM lub Internet. Istnieją trzy rodzaje sieci VPN, dopasowane do sposobów, w jak firmy i organizacje wykorzystuję tę technologię:

• VPN dostępu - zapewnia zdalny dostęp do intra- lub ekstranetu firmy na takich samych zasadach, jak w sieci prywatnej, ale za pośrednictwem współdzielonej infrastruktury. Sieci VPN dostępu pozwalają użytkownikom uzyskiwać dostęp do zasobów firmy w dowolnej chwili i miejscu, a także w dowolny sposób. Sieci VPN wykorzystują technologie analogowe, cyfrowe, zintegrowaną sieć usług cyfrowych (ISDN), cyfrowe linie abonenckie (DSL), mobilne rozwiązania IP oraz technologie kablowe, aby w bezpieczny sposób łączyć użytkowników mobilnych, zdalnych pracowników bądź oddziały firmy.

• Intranet VPN - łączy siedzibę firmy oraz jej zdalne biura i oddziały przy użyciu dedykowanych połączeń w ramach współdzielonej infrastruktury. Firma może wów­czas cieszyć się takim samym poziomem bezpieczeństwa, jakości usług, możliwości zarządzania i niezawodności, jak w sieci prywatnej.

• Ekstranet VPN — łączy klientów, dostawców, partnerów bądź grupy wspólnych interesów z firmowym Intranetem za pośrednictwem dedykowanych połączeń w ramach współdzielonej architektury. Firma może wówczas cieszyć się takim samym pozio­mem bezpieczeństwa, jakości usług, możliwości zarządzania i niezawodności, jak w sieci prywatnej.

Uzgodnienia odnośnie poziomu usług

W tym miejscu warto pokrótce przyjrzeć się znaczeniu uzgodnień odnośnie poziomu usług (SLA), związanych z wdrażaniem sieci VPN. Uzgodnienia odnośnie poziomu usług są umowami, negocjowanymi między dostawcami usług VPN a ich abonentami; zawierają sporządzony przez każdego abonenta wykaz kryteriów, które mają spełniać świadczone mu usługi. Uzgodnienia SLA są praktycznie jedynym narzędziem w ręku abonenta, po­zwalającym mu upewnić się, że dostawca VPN będzie świadczył usługi o jakości i w stop­niu ustalonym w umowie. W interesie abonenta leży monitorowanie zgodności świadczonych mu usług z kryteriami sprecyzowanymi w dokumencie SLA. Trzeba jednak pamiętać, ze ustalenia zawarte w SLA stanowią duże wyzwanie techniczne zarówno dla dostawcy, jak i abonenta.

Internet/1 P/FR/ATM

Siedziba główna Biuro filii Telekomutator

Rysunek 18.1. Logiczna topologia sieci VPN

Dla abonenta wyzwanie to polega na konieczności opracowania i stosowania narzędzi pomiarowych, mogących wskazać, do jakiego stopnia dostawca usług wywiązuje się z ustaleń zapisanych w SLA. Warto zauważyć, że abonent może domagać się od jednego,

lub większej liczby dostawców usług, świadczenia mu usług na poziomie określonym w SLA, ale jeżeli sieć VPN abonenta rozpościera się na domeny wielu dostawców, wówczas w dokumencie SLA musi znaleźć się punkt, opisujący połączenia między dostawcami i uzgodnioną wydajność usług świadczonych między poszczególnymi punktami.

Z kolei dla dostawcy usług wyzwaniem jest honorowanie wielu uzgodnień SLA, pochodzących od różnych dostawców. W przypadku dostawców publicznej sieci danych (PDN) Internet, wspólny mianownik, gwarantujący najwyższy poziom usług, nie sprzyja wcale wypełnianiu zobowiązań określonych w uzgodnieniach SLA, ze względu na nieprzewidywalną naturę mechanizmu alokacji zasobów hosta. W tego rodzaju środowiskach dostawca musi upewnić się, że sieć jest zaprojektowana w taki sposób, aby mogła sobie poradzić z dużym, jak na jej wewnętrzne możliwości przełączania, zapotrzebowaniem abonentów na dostęp. Dostawca może także wprowadzić struktury rozróżniania usług gwarantujące, że każdemu abonentowi zapewniany będzie minimalny poziom zasobu. Warto zauważyć, że pierwsze z omawianych rozwiązań ma skłonność do ograniczania zalet agregacji ruchu, co ma bardzo wyraźny wpływ na koszty; wadą drugiego prezento­wanego podejścia jest większe skomplikowanie zarządzania siecią i ograniczenie jej skalowalności.

Przykład sieci VPN

W przykładzie przedstawionym na rysunku 18.2, stanowiska sieci A tworzą sieć VPN (oznaczoną linią przerywaną) wzdłuż sieci szkieletowej dostawcy usług, podczas gdy siec B w ogóle nie zdaje sobie sprawy z jej istnienia. Sieci A i B zgodnie pracują razem w ramach

Rysunek 18.2. Wirtualna sieć prywatna złożona ze stanowisk A

tej samej infrastruktury szkieletowej.

Sieci VPN złożone ze stanowisk sieci A

W najczęściej występującej odmianie sieci VPN mamy do czynienia z geograficznie odległymi podsieciami, należącymi do wspólnej domeny administracyjnej i połączonymi przez współdzieloną infrastrukturę (na przykład Internet lub sieć szkieletową danego dostawcy usług), znajdującą się poza ich kontrolą. Głównym powodem ustanawiania tego rodzaju sieci VPN jest fakt, że większość transmisji zachodzących między urządzeniami znajdującymi się w tym samym środowisku VPN może mieć charakter poufny. (Decyzja o wymaganym poziomie poufności spoczywa wyłączenie na administratorze sieci VPN, który przeprowadzi stosowną analizę zagrożeń). Z kolei całkowita wartość systemu ko­munikacji nie jest na tyle wysoka, aby inwestować w budowę całkowicie prywatnego rozwiązania, stosującego niezależne urządzenia i media transmisyjne.

Z drugiej strony poziom poufności, jakim może cieszyć się sieć VPN, zależy w ogrom­nym stopniu od technologii wykorzystanej do jej zbudowania. Jeżeli na przykład komuni­kacja między każdą podsiecią VPN (lub między każdym hostem VPN) jest szyfrowana na czas przesyłania danych po współdzielonej infrastrukturze, sieć VPN zapewnia względnie wysoką poufność.

Implementację sieci VPN można rozważać jako zespół prostych połączeń między dwoma poszczególnymi punktami. Przykładem tego rodzaju sieci VPN są rozwiązania, w których użytkownik ustanawia połączenie VPN typu dial-up z bezpieczną aplikacją (taką jak usługi bankowe on-line) lub otwiera bezpieczną, szyfrowaną sesję pomiędzy komputerem domowym a aplikacją znajdującą się w serwerze (jak to ma miejsce na przykład w transakcjach zakupów dokonywanych w Internecie). Tego rodzaju sieci VPN między dwoma hostami stają się coraz bardziej rozpowszechnione, w miarę jak bezpieczne jak aplikacje handlu elektronicznego dojrzewają i są szerzej stosowane w Internecie.

Sieci VPN uważane są także za dobre narzędzie do oddzielania ruchu w sieci, tak aby

ruch badawczy i ruch służący celom przemysłowym, mogły występować obok siebie,

nieświadome obecności towarzysza. Niezależność między dwoma rodzajami ruchu jest tak duża, że nawet istotne zdarzenia, takie jak duże awarie lub brak stabilności w ramach jednego z nich, są zupełnie niewidoczne dla drugiego.

Sieci VPN mogą rozciągać się na więcej niż jedną sieć komunikacyjną, tzn. mogą być obsługiwane przez więcej niż jednego dostawcę sieci VPN naraz. W takim układzie najlepsze efekty uzyskuje się prawdopodobnie wtedy, gdy wszyscy dostawcy formalnie określą, w jaki sposób będą obsługiwać wynikowe, rozproszone środowisko VPN. Jednak czasem stosuje się też, z różnym skutkiem, inne rozwiązania, nie wymagające bezwzględnej znajomości całościowej struktury sieci VPN.

Implementacja sieci VPN

Po podjęciu decyzji o implementacji sieci VPN, należy przedsięwziąć kroki zmierzające do upewnienia się, że infrastruktura jest właściwie zabezpieczona. Oczekiwania wo­bec sieci i obszar jej zastosowań muszą być jasno określone jeszcze przed rozpoczęciem implementacji.

Audyt bezpieczeństwa

Przeprowadzenie audytu bezpieczeństwa pozwala upewnić się, że po wdrożeniu sieci VPN słabe punkty ścian ogniowych, aplikacji zdalnego dostępu lub stosowanych metod uwierzytelniania, nie będą wystawione na większe zagrożenia niż dotychczas. Względu bezpieczeństwa wymagają przeprowadzenia pełnego audytu przynajmniej tych obwodów sieci, które są narażone na atak z zewnątrz lub od wewnątrz. Badanie powinno obejmować wszystkie połączenia przychodzące z intranetu, w tym serwery zdalnego dostępu, połączenia z partnerami odbywające się za pośrednictwem routerów oraz połączenia w ramach eksperymentu. W przypadku sieci ekstranet VPN, takiej ocenie powinny podlegać także ob­wody sieci firm współpracujących z danym przedsiębiorstwem.

Wymagany zakres i aplikacje

Po wykonaniu audytu bezpieczeństwa należy określić zasięg sieci YPN, wskazując partnerów, kontrahentów i pracowników zdalnych, którzy mają mieć dostęp do sieci oraz do aplikacji. Ten krok obejmuje ustalenie, jakiego rodzaju aplikacje będą wykorzystywane przez współpracowników i jak poufne dane będą przez przesyłane. Wskazanie tych aplikacji pozwoli wybrać odpowiednie środki bezpieczeństwa i stosowny poziom szyfrowania.

W następnej kolejności trzeba określić, jakie wymagania odnośnie opóźnień w sieci i jakości świadczonych usług mają wszystkie aplikacje, które będą obsługiwane w sieci VPN. Przy pewnych konfiguracjach nawet aplikacje uważane za programy typu przechowaj i przekaż mogą okazać się wrażliwe na opóźnienia. Tego rodzaju cechy mają wpływ na to, czy dana aplikacja nadaje się do sieci VPN i jaki charakter powinna mieć budowana sieć.

Dokumentacja

W przypadku sieci ekstranet VPN, firma powinna nakreślić jej użytkownikom podstawowe zasady pracy w takiej sieci. Jeżeli wykorzystywany jest zdalny dostęp, regulacje odnoszące się do tego rodzaju usługi powinny zostać uaktualnione, aby mieć pewność, że uwzględniają one zastosowanie sieci VPN.

Zasady bezpieczeństwa

W przypadku ekstranetu polityka bezpieczeństwa może na przykład regulować zasady autoryzacji i uwierzytelniania.

System autoryzacji powinien być opracowany na podstawie ogólnej charakterystyki stanowisk, zajmowanych przez pracowników współpracujących ze sobą firm. Z każdym stanowiskiem powinny wiązać się pewne podstawowe przywileje, pozwalające na dostęp do sieci i sprawdzanie na serwerach WWW stanów magazynowych dostawców. Przypisanie pracowników do konkretnych stanowisk powinno pociągać za sobą wytyczenie określonego zbioru danych, które mają być dostępne w sieci VPN. Zasady pracy w sieci, określone dla poszczególnych użytkowników, powinny zawsze mówić także o zasadach obowiązujących w sieci ekstranet.

Reguły dotyczące zdalnego dostępu w ramach wirtualnej sieci prywatnej nie powinny za bardzo odbiegać od już ustanowionych, ogólnych zasad wykorzystania technologii zdalnego dostępu. Jedna z kluczowych różnic może polegać na określeniu „dopuszczal­nego zakresu" wykorzystania Internetu, tam gdzie ma ono miejsce. Podobnie jak każdy dostęp do Internetu powinien opierać się na dwuczynnikowym uwierzytelnianiu wykorzystującym znaczniki, tak przyjęta polityka powinna określać, jak należy wykorzystywać te znaczniki, aby komunikacja była jak najbardziej bezpieczniejsza.

Projekt sieci VPN z wykorzystaniem rozwiązań Cisco Systems

UWAGA

Obecnie nie istnieje żaden standard określający programowe i sprzętowe składniki sieci VPN. Każdy dostawca usług VPN wybiera takie rozwiązanie, które jest najlepiej obsługiwane przez posiadane przez niego platformy sprzętowe i oprogramowanie.

Sprzęt sieciowy Cisco i oprogramowanie Cisco IOS zapewniają poufnym, prywatnym transmisjom przeprowadzanym w ramach publicznej infrastruktury wysokie bezpieczeństwo, a także gwarantowaną jakość świadczonych usług (dzięki rozróżnianiu ruchu), niezawodność na potrzeby aplikacji o krytycznym znaczeniu, skalowalność pozwalającą na zapewnienie dużej przepustowości danych oraz szczegółowe możliwości zarządzania siecią, co razem stanowi kompletne rozwiązanie dla sieci VPN dostępu.

Poniżej pokazano, w jaki sposób serwery dostępu do sieci (NAS) Cisco oraz routery z oprogramowaniem Cisco IOS zapewniają nowy rodzaj funkcjonalności i wirtualne usługi dial-up. Funkcjonalność ta bierze się z zastosowania protokołu L2F, opisanego w dokumencie RFC IETF. Protokół L2F zapewnia zgodny ze standardami mecha­nizm tunelowania ramek, pochodzących z warstwy łącza lub z protokołów wyższych warstw - takich jak HDLC, PPP, SLIP lub PPP ISDN. Dzięki zastosowaniu tuneli, można oddzielić położenie źródłowego serwera dial-up od miejsca, w którym zamykane jest połączenie dial-up protokołu i od miejsca, w którym zapewniany jest dostęp do sieci (zazwyczaj jest to brama korporacyjna).

Tunelowanie

Kluczowym składnikiem wirtualnej usługi dial-up jest tunelowanie, mechanizm enkapsulowania pakietów w ramy protokołu, który jest obsługiwany w punkcie wejścia i wyjścia z danej sieci. Punkty te nazywane są interfejsami tunelu. Interfejs tunelu przy­pomina interfejs fizyczny, ale tworzony jest wyłącznie przez oprogramowanie. Rysunek 18.3 pokazuje, w jakiej postaci pakiet przemierza sieć wewnątrz tunelu.

Rysunek 18.3. Format pakietu stosowany przy tunelowaniu.

Tunelowanie wykorzystuje poniższe trzy rodzaje protokołów (patrz rysunek 18-3):

• Pasażer - enkapsulowany protokół. W przypadku rozwiązań typu dial-up może to być
  protokół PPP, SLIP lub zwykła wymiana informacji tekstowych.

• Protokół enkapsulujący - tworzy, utrzymuje i niszczy tunel. Rozwiązania Cisco
  obsługują wiele rodzajów protokołów enkapsulujących, w tym protokół L2F, stosowany w wirtualnych usługach dial-up.

• Protokół nośny - przenosi enkapsulowany protokół. IP jest pierwszym protokółem
  nośnym wykorzystywanym przez L2F. Ponieważ zapewnia bardzo szybki routing,
  może być stosowany na wielu rodzajach mediów, a ponadto można wykorzystywać go
  w Internecie.

Nie istnieje żadna zależność między protokołem L2F a IP. Następujące po sobie rozszerzenia funkcjonalności L2F pozwoliły wykorzystywać w tunelowaniu w charakterze protokołu nośnego warstwy 2 również Frame Relay, wirtualne obwody (VC) X.25 c przełączane obwody wirtualne (SVC) ATM.

Tunelowanie stało się jedną z podstawowych technologii, wykorzystywanych w sieciach VPN. Oprogramowanie Cisco ISO świadczy wirtualne usługi typu dial-up za pośrednictwem technologii sieci VPN, opracowanej pod kątem pracy zdalnej.

Wirtualne usługi typu dial-up

Poniższe definicje dokładnie opisują wirtualne usługi dial-up zapewniane przez oprogramowanie Cisco IOS:

Zdalny użytkownik - klient dzwoniący z domu lub z innej lokalizacji, za pośred­nictwem ISDN lub tradycyjnej, publicznej, przełączanej sieci telefonicznej (PSTN).

NAS — urządzenie przyjmujące połączenia typu dial-up w obwodach analogowych (tradycyjne usługi telefoniczne) lub cyfrowych (ISDN).

Dostawca usług internetowych (ISP) - firma świadcząca usługi dostępowe typu dial-up. Może świadczyć je samodzielnie za pośrednictwem serwera dostępu do sieci (NAS), bądź łączyć zdalnego użytkownika diał-up z wyznaczoną bramą korporacyjną.

Brama korporacyjna - router docelowy, zapewniający dostęp do usług, których żąda zdalny użytkownik. Usługi te mogą być świadczone w ramach korporacji lub nawet przez innego dostawcę.

Zdalni użytkownicy (wykorzystujący asynchroniczny PPP lub ISDN) uzyskują dostęp do sieci LAN przedsiębiorstwa w taki sam sposób, jak gdyby nawiązywali fizyczne połączenie z bramą korporacyjną (choć ich fizyczne połączenie typu dial-up przechodzi przez NAS ISP). Rysunek 18.4 pokazuje w ujęciu topologicznym zastosowanie tych założeń w ramach wirtualnej usługi dial-up.

Implementacja L2F w wykonaniu Cisco

Usługa świadczona przez wersję L2F opracowaną przez Cisco ma następujące, podstawowe wymagania:

- Zdalny system i znajdujący się w firmie host nie mogą wymagać stosowania żadnego specjalnego oprogramowania w celu zapewnienia bezpiecznego świadczenia usługi.

- Uwierzytelnianie musi być obsługiwane przez dial-up PPP, protokół CHAP (Challenge Hanshake Authentication Protocol) lub PAP - w tym TACACS+ (Terminal Access Controller Access Control System Plus) oraz RADIUS (Remote Authentication Dial-In User Service). Musi być także zapewniona obsługa inteligentnych kart oraz haseł jednorazowych. Procedurami uwierzytelniania zarządza użytkownik, niezależnie od dostawcy usług internetowych.

- Musi być możliwość zarządzania adresowaniem tak, jak w dedykowanych rozwiąza­niach dial-up; adres ma być przypisywany przez pracodawcę zdalnego użytkownika, a nie przez dostawcę usług internetowych.

- Uwierzytelnianiem zarządzają zdalni użytkownicy, tak jak w przypadku bezpośred­nich połączeń dial-up.

- Rozliczenia muszą być prowadzone zarówno przez dostawcy usług internetowych (dla potrzeb billingowych), jak również przez użytkownika (ze względu na ewentualne zwroty i dla ogólnej kontroli).

Wymagania te udaje się spełnić przede wszystkim dzięki funkcjom zapewnianym przez protokół L2F, pozwalający na tunelowanie transmisji zdalnych użytkowników bezpośrednio do sieci danej korporacji. W przypadku PPP wszystkie negocjacje protokołu kontroli łącza (LCP) oraz protokołu kontroli sieci (NCP) mają miejsce na wewnętrznym stanowisku firmy, przypisanym do zdalnego użytkownika. Transmisje PPP pochodzące od zdalnego użytkownika mogą przepływać do bramy korporacyjnej. (rys 18.4).

Zdalny użytkownik nawiązuje połączenie PPP z siecią firmy, aby utworzyć w pełni funkcjonalną, wirtualną topologię dial-up.

Rys 18.4. Zdalny użytkownik inicjuje za pośrednictwem PSTN lub ISDN połączenie PRl z ISP. NAS akceptuje połączenie i ustanawiane jest łącze PPP (patrz rysunek 18.5, kroki)

Wirtualne połączenia dial-up między dwoma punktami

Rys 18.5. Nawiązywanie komunikacji między zdalnym klientem VPN a firmową siecią LAN odbywa się w ośmiu etapach.

Dostawca usług internetowych wykorzystuje CHAP lub PPP do uwierzytelnienia zdalnego systemu użytkownika . Interpretowane jest tylko pole przechowujące nazwę użytkownika w celu ustalenia, czy użytkownik wymagań wirtualnej usługi dial-up. Oczekuje się, że nazwy użytkowników będą miały określoną strukturę (na przykład snu-th@cisco.com) lub że dostawca będzie utrzymywał bazę danych, przypisującą poszczę ogólnym użytkownikom określone usługi. W przypadku wirtualnych usług dial-up taki; przypisanie wskaże na konkretny punkt - bramę korporacyjną. Punkt ten jest adresem IP bramy korporacyjnej (krok 2).

Jeżeli wirtualne usługi dial-up nie są wymagane, serwery NAS mogą zapewniać tradycyjny dostęp do Internetu. W tej sytuacji wszelkie operacje nadawania adresów i uwierzytelniania będą przeprowadzane lokalnie przez dostawcę.

Jeżeli w danej chwili nie istnieje tunelowane połączenie z żądaną bramą korporacyjną, jest ono zestawiane. L2F wymaga jedynie, aby medium, po którym ma odbywać się tunelowanie, po­zwalało na nawiązanie dwupunktowej łączności. Przykładami takich mediów są: UDP (UserDatagram Protocol), Frame Relay, ATM oraz obwody wirtualne VC.

UDP posługuje się protokołem nośnym IP. Dzięki UDP dowolne medium obsługujące IP obsługuje także wirtualne połączenia dial-up (krok 3). Po ustano­wieniu połączenia tunelowego NAS alokuje wolny numer MID i wysyła wskaźnik połą­czenia, informujący bramę korporacyjną o nowej sesji dial-up. Numer MID identyfikuje poszczególne połączenia w tunelu. Każdemu nowemu połączeniu przypisuje się MID, który nie jest w danej chwili wykorzystywany w tunelu. Brama korporacyjna akceptuje lub odrzuca połączenie. Odmowie obsługi połączenia może towarzyszyć informacja o jej przyczynie, która może zostać pokazana użytkownikowi. Po wyświetleniu takiej informa­cji, połączenie powinno zostać zakończone.

Wstępne powiadomienie o przyjętej konfiguracji może zawierać informacje uwierzy­telniające, pozwalające bramie korporacyjnej na przeprowadzenie uwierzytelniania użyt­kownika i podjęcie decyzji o zaakceptowaniu lub odrzuceniu połączenia. W przypadku protokołu CHAP pakiet konfiguracyjny zawiera wezwanie, nazwę użytkownika oraz „gołe" hasło, natomiast dla PAP jest to nazwa użytkownika i hasło zapisane otwartym tekstem. Brama korporacyjna może być tak skonfigurowana, aby wykorzystywała te in­formacje, co pozwala na uniknięcie dodatkowego cyklu uwierzytelniania. Uwierzytelnia­nie ma miejsce po stronie klienta, co pozwala danej firmie na opracowanie własnej polityki bezpieczeństwa, określającej reguły obowiązujące zdalnych użytkowników nawiązujących połączenia z siecią firmy. Dzięki temu firma nie musi w pełni polegać na procedurze uwie­rzytelniania przeprowadzanej przez dostawcę usług internetowych (krok 4).

Jeżeli brama korporacyjna akceptuje połączenie, tworzy dla PPP wirtualny interfejs, w analogiczny sposób jak miałoby to miejsce w przypadku bezpośrednich połączeń dial-up. Dzięki istnieniu takiego wirtualnego interfejsu, ramki warstwy łącza mogą przechodzić przez tunel w obu kierunkach, (krok 5). Ramki pochodzące od zdalne­go użytkownika odbierane są na serwerze NAS, pozbawiane wszelkich bajtów odpowie­dzialnych za przezroczystość i podział na ramki, enkapsulowane w ramki protokołu L2F i przekazywane odpowiednim tunelem. W pierwszej wersji L2F protokołem nośnym sto­sowanym w tunelu jest IP, co wymaga, aby ramki były również enkapsulowane do postaci zrozumiałej dla IP.

Ramki te przyjmowane są przez bramę korporacyjną, pozbawiane informacji L2F a następnie przetwarzane tak, jak normalne ramki danego protokołu, napływające na okre­ślony interfejs. Interfejs wirtualny zachowuje się w dużej mierze tak jak interfejs fizyczny, z tą różnicą, że w tym przypadku fizycznym urządzeniem jest NAS dostawcy usług internetowych. Ruch w drugą stronę odbywa się analogicznie, tzn. brama korporacyjna enkapsuluje pakiet do postaci L2F, a NAS odrzuca bajty odpowiedzialne za enkapsulację L2F po czym rozpoczyna transmisję przez fizyczny interfejs do zdalnego użytkownika.

NAS może też opcjonalnie prowadzić dziennik z wykazem zaakceptowanych połą­czeń, oraz wszelkimi innymi informacjami stosownymi dla usług, które zamówił abonent, takimi jak czas trwania połączenia, liczba przesłanych pakietów/bajtów, czy wykaz wyko­rzystywanych portów danego protokołu, (krok 6).

Na tym etapie istnieje już dwupunktowe połączenie PPP, którego jednym końcem jest aplikacja sieciowa zdalnego użytkownika, a drugim brama korporacyjna. Ponieważ zdalny użytkownik stał się w tym momencie kolejnym klientem dial-up serwera dostępu bramy korporacyjnej, łącznością z klientem można teraz zarządzać przy użyciu tradycyjnych mechanizmów, co pozwala na dalsze uwierzytelnianie, negocjowanie adresów, dostęp do protokołów, księgowanie oraz filtrowanie, (krok 7 i 8)

Ponieważ wskaźnik połączenia z klientem PPP wysyłany przez L2F zawiera wystar­czająco dużo informacji, aby pozwolić bramie korporacyjnej na uwierzytelnienie i zaini­cjowanie jej stanu LCP, od zdalnego użytkownika nie wymaga się już, aby przechodził po raz drugi przez proces uwierzytelniania CHAP ani przez wiele negocjacji LCP. Celem tych technik jest zoptymalizowanie fazy ustanawiania połączenia, a nie lekceważenie wymagań stawianych przez specyfikację PPP.

Charakterystyczne cechy wirtualnych usług dial-up

Istotne różnice między standardowymi usłu­gami dostępowymi do Internetu a wirtualnymi usługami dial-up: uwierzytelnianie, alokacja adresów, autoryzacja oraz księgowanie.

Uwierzytelnianie i bezpieczeństwo

W przypadku tradycyjnego nawiązywania połączeń typu dial-up, ISP wykorzystuje NAS oraz serwer bezpieczeństwa do przeprowadzenia procesu uwierzytelniania, żądając od zdalnego użytkownika podania zarówno nazwy użytkownika, jak i hasła. Jeżeli użyt­kownik przejdzie przez tę fazę, rozpoczyna się faza autoryzacji.

W przypadku wirtualnej usługi dial-up, dostawca Internetu przeprowadza uwierzytel­nianie w celu ustalenia tożsamości użytkownika (a tym samym, niejawnie, wykorzystywa­nej przez niego bramy korporacyjnej). Na tym etapie nie przesyła się hasła. Gdy tylko zostanie określona właściwa brama korporacyjna, inicjowane jest połączenie i przekazy­wane są zebrane przez dostawcę informacje uwierzytelniające. Brama korporacyjna do­prowadza proces uwierzytelniania do końca, akceptując lub odrzucając połączenie (na przykład połączenie może zostać odrzucone, gdy na żądanie PAP będzie wprowadzona niepoprawna nazwa użytkownika lub hasło). Po akceptacji połączenia brama korporacyjna może przeprowadzić kolejną fazę uwierzytelniania w warstwie PPP. Te dodatkowe czyn­ności uwierzytelniające wykraczają poza zakres specyfikacji, a mogą to być na przykład

autorskie rozszerzenia PPP lub żądania tekstowe, wysyłane przez telnet w ramach sesji TCP/IP.

Dla każdego ustanowionego tunelu L2F mechanizm bezpieczeństwa L2F generuje unikatowy, losowy klucz, zabezpieczający przed atakami podszywania. W samym tunelu L2F każda multipleksowana sesja ma swój numer sekwencyjny, co zabezpiecza przez powielaniem pakietów. Cisco zapewnia elastyczność, pozwalając użytkownikom na sto­sowanie po stronie użytkownika kompresji. Dodatkowo, dzięki zastosowaniu mechani­zmów bezpieczeństwa IP (IPSec), dane w tunelu mogą być szyfrowane.

Autoryzacja

Dostawca usług internetowych świadczący tradycyjne usługi dial-up utrzymuje profile poszczególnych użytkowników, wykorzystywane w procesie autoryzacji. Dzięki temu serwer bezpieczeństwa może komunikować się z NAS, co pozwala na przyłączanie użyt­kowników zgodnie z określonymi regułami, dotyczącymi ich informacji autoryzacyjnych Odpowiednie deklaracje mogą mieć postać prostych filtrów źródła/miejsca przeznaczeni. lub być złożonymi algorytmami, badającymi rodzaj wykorzystywanych aplikacji i podejmującymi różne decyzje w zależności od pory dnia, oraz posługującymi się długą listą dozwolonych lub zabronionych miejsc przeznaczenia. Takie rozwiązanie może okazać się uciążliwe dla dostawcy, zwłaszcza gdy musi zapewniać zdalnym użytkownikom dostęp w imieniu firm, które wprowadzają ciągłe zmiany w stosowanych przez siebie regułach.

W przypadku wirtualnej usługi dial-up uciążliwości związane z zapewnianiem szczegółowej autoryzacji uwzględniającej politykę firmy przechodzą bezpośrednio na nią. Zapewnienie łączności między zdalnym użytkownikiem a bramą korporacyjną pozwala sprawić, aby autoryzacja odbywała się tak, jak gdyby zdalny użytkownik nawiązał bezpośrednie połączenie z siecią firmy. Taka konfiguracja zwalnia dostawcę z koniecznością utrzymywania obszernej bazy danych, przechowującej profile poszczególnych użytkowników, pracujących w różnych firmach. Co więcej, wirtualne usługi dial-up są bezpieczniejszym rozwiązaniem dla korzystających z nich firm i pozwalają organizacjom szybko reagować na zmiany w strukturze środowiska zdalnych użytkowników.

Alokacja adresów

W przypadku tradycyjnych usług dostępowych do Internetu, użytkownik zgadza się.
na to, że adres IP może zostać mu dynamicznie przypisany z puli adresów dostawcy usług
W tym modelu zdalni użytkownicy mają często bardzo ograniczony, jeśli w ogóle, dostęp
do zasobów sieci ich firmy, ponieważ ściany ogniowe i polityka bezpieczeństwa nie zezwalają na dostęp do sieci firmy z zewnętrznych adresów IP,

W przypadku wirtualnych usług dial-up brama korporacyjna może znajdować się za ścianą ogniową firmy i alokować wewnętrzne adresy (mogące w istocie być adresami RFC 1597 lub nie być w ogóle adresami IP). Ponieważ tunele L2F działają wyłącznie na poziomie warstwy ramki, bieżące zasady zarządzania adresami nie znajdują zastosowania dla wirtualnych usług dial-up. Wszędzie tam, gdzie zachodzi potrzeba obsługi protokołu PPP, zdalny użytkownik zachowuje się tak, jakby połączył się z bramą korporacyjną.

Zliczanie danych

Wymaganie zarówno od NAS, jak i od bramy korporacyjnej, aby dostarczały danych zbiorczych, może oznaczać, że będą one zliczać pakiety, oktety, a także czasy rozpoczęcia i zakończenia poszczególnych połączeń. Ponieważ wirtualne usługi dial-up są usługami dostępowymi, zliczanie prób nawiązania połączenia (w szczególności nieudanych prób) może być istotne. Brama korporacyjna może odrzucać nowe połączenia na podstawie informacji uwierzytelniających otrzymanych od dostawcy usług internetowych, notując ten fakt w dzienniku zdarzeń. W sytuacji, gdy brama korporacyjna akceptuje połączenie i przechodzi do dalszej części uwierzytelniania, może w dalszym ciągu zamknąć połącze­nie. W tym wypadku wysłany do dostawcy wskaźnik zamknięcia połączenia może zawie­rać informację o przyczynie tego zdarzenia.

Ze względu na to, że brama korporacyjna może odrzucić połączenie na podstawie in­formacji uwierzytelniających zebranych przez dostawcę usług internetowych księgowanie pozwala z łatwością odróżnić serię nieudanych prób nawiązania połączenia od serii prawi­dłowych połączeń. Bez tej możliwości, brama korporacyjna musiałaby zawsze akceptować żądania nawiązania połączenia i wymieniać ze zdalnym systemem wiele pakietów PPP.

Podsumowanie

Czy jest wirtualna sieć prywatna? Jak pokazano, może ona przybierać wiele postaci: może występować między dwoma systemami końcowymi bądź między dwiema lub więcej sieciami. Sieć VPN można utworzyć stosując tunele, szyfrowanie danych lub jedną z wir­tualnych metod routera. Sieć taka może składać się z sieci połączonych z siecią dostawcy usług za pomocą linii dzierżawionych, łączy Frame Relay lub ATM. Może również być utworzona przez grupę abonentów usług dial-up, uzyskujących dostęp do świadczo­nych centralnie usług lub łączących się z innymi abonentami.

Wniosek? Choć sieci VPN mogą występować w wielu postaciach, buduje się je w celu rozwiązania pewnych powszechnych, podstawowych problemów, które można określić jako potrzebę wirtualizacji usług i oddzielenia komunikacji wykorzystywanej na potrzeby zamkniętej grupy wspólnych interesów, przy jednoczesnym zaoszczędzeniu środków, dzięki wykorzystaniu istniejącego współdzielonego systemu łączności.

Każda firma ma własne problemy do rozwiązania, a każde z wspomnianych w tym rozdziale narzędzi może być użyte do utworzenia wybranego rodzaju sieci VPN, co po­woli osiągnąć określone cele w zakresie funkcjonalności. Problemy te można rozwiązać rży użyciu więcej niż jednego narzędzia, a inżynierowie zajmujący się sieciami powinni, być świadomi tego, że sieci VPN są dziedziną, w której wiele osób używa tego pojęcia l w sposób ogólny - istnieje szeroki problem o wielu możliwych rozwiązaniach. Każde z nich ma wiele mocnych i słabych stron. Nie ma natomiast żadnego pojedynczego me­chanizmu dla sieci VPN, który mógłby w najbliższych miesiącach lub latach zastąpić pozostałe. Zamiast tego, w dziedzinie sieci VPN wciąż będą pojawiały się nowe, zróżni­cowane rozwiązania technologiczne.

---