NEXT 2/2007 - Bezpieczny kanał wirtualny

Wirtualne sieci prywatne, czyli VPN-y, są bezpiecznym sposobem wymiany danych nie tylko w internecie, ale także pomiędzy komputerami w jednej firmie. Administrator, który zarządza takim LAN-em, ma do wyboru kilka metod szyfrowania transmisji. Sprawdźmy, które warto zastosować.

Zdaniem redaktora

Piotr Nowosielski szef działu Software i Internet Gdyby nie wirtualne sieci prywatne, trudno byłoby wyobrazić sobie bezpieczne połączenie sieci lokalnych z różnych oddziałów firmy w jedną całość, jak również prywatnych lub służbowych komputerów pracowników z siecią lokalną centrali. Technologię VPN wykorzystuję w domu i w czasie podróży służbowych, kiedy chcę odebrać e-maile na swoim notebooku z firmowego serwera poczty elektronicznej, lub żeby podłączyć się do sieci lokalnej w biurze. Jest to bardzo wygodne i przydatne rozwiązanie, zwłaszcza gdy muszę korzystać z ogólnodostępnych sieci bezprzewodowych. Zapewnia ono, że nikt nie przechwyci przesyłanych danych. Jeśli nie musisz uważać na wysokie bezpieczeństwo transmisji, polecam protokół PPTP. Ale jeżeli jest ono niezbędne, najlepiej zastosować bardziej skomplikowany w budowie i trudniejszy do złamania IPsec. Urządzenia sieciowe, które oferują funkcjonalność VPN, często obsługują wszystkie popularne protokoły, ale sprawdź to podczas wyboru sprzętu. W przypadku wykorzystywania rozwiązań software'owych, zwróć uwagę na kompatybilność oprogramowania na dwóch końcach tunelu.

Internet od dawna nie jest już bezpiecznym miejscem, co częściowo wynika z zastosowanych standardów sieci TCP/IP (nie zapewniają one wystarczającego poziomu zabezpieczeń). Każdy użytkownik sieci może spróbować przechwycić pocztę elektroniczną, przesyłane strony WWW czy pobierane oprogramowanie. Zagrożenie może być jeszcze większe, jeśli kraker zechce przechwycić dane i podmienić je swoimi własnymi, a następnie podszyć się pod nadawcę i przekazać je odbiorcy. Aby chronić się przed takimi sytuacjami, stosuje się szyfrowanie poczty elektronicznej (za pomocą kryptografii asymetrycznej, np. OpenPGP, patrz też: NEXT 1/2007 strona 81), protokołu webowego (HTTPS) czy przesyłanych plików (SFTP z OpenSSH). Rezygnacja z tych środków ostrożności jest możliwa w sytuacji, kiedy dokona się połączenia obu oddziałów za pomocą bezpiecznego kanału transmisji, czyli przygotuje tzw. wirtualną sieć prywatną (VPN – Virtual Private Network).

Jest wiele metod ustanawiania VPN-ów, ale najczęściej są one oparte na trzech protokołach: PPTP (Point-to-Point Tunelling Protocol), L2TP (Layer 2 Tunelling Protocol), IPSec (Internet Protocol Security) oraz VPN szyfrowany przez SSL. W tym numerze skupimy się na protokole PPTP, natomiast w kolejnych wydaniach na pozostałych (patrz: ramka „Bezpieczny VPN w częściach”).

Protokół PPTP zdobył dużą popularność ze względu na prostotę wykorzystania i łatwą dostępność. Stosujące go oprogramowanie klienckie jest od dłuższego czasu standardowym elementem wszystkich wersji systemu operacyjnego Windows firmy Microsoft. Natomiast aplikacja serwerowa jest częścią usługi RRAS (Routing and Remote Access Service – ruting i dostęp zdalny), udostępnianej przez odmiany serwerowe tych systemów. Również społeczność open source opracowała swoje rozwiązania, takie jak: PPTP Client (klient obecny w większości dystrybucji Linuksa), KVpnc (nakładka graficzna dla KDE z obsługą wielu implementacji VPN, w tym PPTP Clienta) oraz Poptop (serwer PPTP). Obsługa PPTP znajduje się także w samym jądrze Linuksa. Rozwiązania Microsoftu i open source współpracują ze sobą bez problemów.

W wielu przypadkach również rozwiązania sprzętowe, takie jak firewalle czy rutery, oferują obsługę protokołu PPTP (często na bazie projektów opensource’owych). Ich producentami są m.in. Cisco, Checkpoint, Zyxel, D-Link czy Secure Computing. Nie trzeba już wtedy instalować dodatkowego oprogramowania, a jedynie skonfigurować własne VPN-y. O historii rozwoju tej technologii, a zwłaszcza protokołu PPTP, dowiesz się więcej z ramki „Historia PPTP”. Teraz przedstawimy szczegóły na temat architektury wirtualnych sieci prywatnych PPTP.

Wirtualne sieci prywatne PPTP i ich działanie

Wirtualna sieć prywatna jest określeniem tunelowania danych przechodzących przez sieć komputerową (najczęściej publiczną, choć może być także wykorzystana do stworzenia odrębnych sieci wirtualnych w jednej korporacyjnej sieci LAN). Punktem wyjścia może być pojedynczy komputer (w takiej sytuacji tylko on zostaje dołączony do zdalnej sieci lokalnej) lub inna sieć lokalna (wtedy poprzez bramkę VPN dołączane są wszystkie komputery z tej sieci lokalnej). W obu przypadkach wykorzystywana jest architektura klient–serwer, tzn. jedna strona nawiązuje połączenie z drugą. Wirtualna sieć prywatna nie nakłada obowiązku zabezpieczania kanału transmisji, ale gdy dane są przesyłane przez internet, najczęściej są szyfrowane, a sesja uwierzytelniana.

Protokół PPTP wymaga uruchomienia serwera VPN, z którym będzie się łączył klient PPTP. Uwierzytelnianie sesji jest realizowane za pomocą protokołu MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2), a dane są szyfrowane przy użyciu protokołu MPPE (Microsoft Point-to-Point Encryption). W MS-CHAPv2 uwierzytelnianie jest obustronne. Najpierw klient udowadnia swoją tożsamość, podając nazwę użytkownika i hasło, a później na tej podstawie serwer. Polega to m.in. na obliczeniu funkcji skrótu ze wspólnego klucza (np. hasła użytkownika) i podesłaniu wraz z innymi elementami drugiej stronie do porównania. W MPPE wykorzystywany jest algorytm szyfrowania RC4 z kluczem 40- lub 128-bitowym. Jest to proste i wygodne rozwiązanie. Istnieje możliwość wykorzystania bezpieczniejszych certyfikatów w ramach infrastruktury klucza publicznego (PKI – Public Key Infrastructure) do uwierzytelniania za pomocą protokołu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), jednak jest to bardziej skomplikowane podejście, a przez to mniej popularne.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• VPN bardziej bezpieczny »
  raport: wirtualne sieci prywatne – część II
• Superbezpieczny VPN »
  raport: wirtualne sieci prywatne – część III
• Sposoby na zakładki »
  synchronizacja bookmarków między komputerami
• Bezpieczne transfery »
  połączenie SSL na własnym serwerze FTP
• Bezpieczne surfowanie »
  wirtualny system do korzystania z sieci