NEXT 3/2007 - VPN bardziej bezpieczny

Aby stworzyć bezpieczną wirtualną sieć prywatną, możesz skorzystać z zaawansowanych protokołów – L2TP i IPsec. Z naszego raportu dowiesz się szczegółów ich architektury i dostępnych implementacji na systemy Windows i Linux, a także, w jaki sposób z nich korzystać.

Wirtualne sieci prywatne można tworzyć przy wykorzystaniu kilku protokołów. W poprzedniej części omówiliśmy PPTP, natomiast w tej skoncentrujemy się na dwóch zapewniających większe bezpieczeństwo, tj. L2TP (Layer 2 Tunelling Protocol) oraz IPsec (Internet Protocol security). Więcej o ich rozwoju dowiesz się z ramki „Historia L2TP i IPsec”.

Niezawodny protokół L2TP

L2TP został zaprojektowany jako następca protokołu PPTP, aby zapewnić większe bezpieczeństwo nawiązywania połączeń. W krótkim czasie stał się też oficjalnym standardem organizacji IETF (Internet Engineering Task Force). Jednak mimo to nie zdobył aż tak dużej popularności jak jego poprzednik. Stało się tak przede wszystkim z powodu pracochłonności jego wdrożenia, które wymaga od administratora dużo większej wiedzy. W związku z tym L2TP jest wykorzystywany głównie w dużych korporacjach i to wtedy, gdy połączenie jest realizowane przez sieci PSTN (Public Switched Telephone Network).

Firma Microsoft zaimplementowała obsługę tego protokołu w swoich nowszych systemach operacyjnych, ale jest on też dostępny w innych komercyjnych produktach, przede wszystkim firmy Cisco, która jest współtwórcą L2TP. Do opracowywania projektów wykorzystujących ten standard włączyła się także społeczność open source, która rozwija m.in. wersje OpenL2TP i RP-L2TP.

Zdaniem redaktora

Paweł Małkowski redaktor działu Software i Internet Jedyną wadą L2TP/ IPsec i IPsec jest wysoki poziom skomplikowania ich instalacji i konfiguracji, przeciwnie niż w przypadku PPTP. Ale proces ten jest przeprowadzany tylko raz, a później korzysta się już wyłącznie z efektów. Z tego powodu polecam rozwiązania wykorzystujące te protokoły, w szczególności urządzenia sprzętowe, w których wszystkie komponenty są preinstalowane, a sama konfiguracja jest często realizowana za pomocą kreatorów. W firmie najlepiej zainstalować wtedy sprzętową bramkę VPN, a w domu lub na komputerze mobilnym oprogramowanie klienckie. Zastosowane rozwiązanie będzie bezproblemowo pełniło swoją rolę przez wiele lat, o czym mogę poświadczyć osobiście.

Bezpieczne IP

Oprócz wymienionych wcześniej dwóch protokołów duże, jeśli nie największe uznanie zyskał IPsec. Jest on częścią nowej wersji protokołu IP – IPv6, który był projektowany z myślą o wyeliminowaniu luk bezpieczeństwa poprzednika (IPv4). Mimo że IPv6 nadal nie jest powszechnie używany, zdecydowano się na skorzystanie z zalet, jakie oferuje IPsec, i dołączono go jako rozszerzenie IPv4. Naturalna jest więc sytuacja, że za jego pomocą tworzonych jest najwięcej VPN-ów.

Oprogramowanie klienckie korzystające z funkcji IPseca oferują zarówno twórcy systemów operacyjnych, np. Microsoft, niezależni producenci, np. SafeNet, twórcy bramek VPN, np. Cisco, jak również zespoły pracujące w projektach opensource’owych, np. KAME. Jak wiadomo, do podłączania klientów potrzebne są serwery. Te najczęściej dostarczane są nie jako oprogramowanie, ale w postaci specjalnych rozwiązań sprzętowych, takich jak firewalle czy rutery, które oferują wsparcie dla jednego protokołu VPN (albo kilku). Producentami takich rozwiązań są m.in. Cisco, Zyxel, D-Link czy Secure Computing.

Działanie L2TP/IPsec Działanie L2TP/IPsec

Wirtualna sieć prywatna jest określeniem tunelowania danych, przechodzącego przez sieć komputerową (najczęściej publiczną, taką jak internet), którego miejscem przeznaczenia jest prywatna sieć lokalna. Punktem wyjścia może być pojedynczy komputer lub inna sieć lokalna (wtedy poprzez bramkę VPN dołączane są wszystkie komputery z tej sieci lokalnej). W obu przypadkach wykorzystywana jest architektura klient-serwer, tzn. jedna strona nawiązuje połączenie z drugą. Wirtualna sieć prywatna nie nakłada obowiązku zabezpieczania kanału transmisji, ale gdy dane przesyłane są przez internet, najczęściej są szyfrowane, a sesja uwierzytelniana.

W przypadku protokołu L2TP serwer określany jest jako LNS (L2TP Network Server), a klient jako LAC (L2TP Access Concentrator), przy czym może to być komputer bezpośrednio podłączony do sieci lub serwer zapewniający dostęp do niej poprzez sieć telefoniczną. LNS czeka na zgłoszenia utworzenia nowych tuneli, które inicjuje LAC. Gdy zostaje on ustanowiony, połączenie jest już dwukierunkowe i tworzone są sesje dla poszczególnych wirtualnych sieci prywatnych. Protokół L2TP sam nie zapewnia mechanizmów uwierzytelniania połączenia i szyfrowania danych, więc gdy są one potrzebne, korzysta z protokołu IPsec. W takim przypadku rozwiązanie to jest określane jako L2TP/IPsec. Najpierw ustanawiany jest bezpieczny kanał transmisji za pomocą IPseca, a dopiero później w jego ramach tunel L2TP.

IPsec to zbiór protokołów kryptograficznych, zapewniających bezpieczne przesyłanie danych oraz kluczy. Wykorzystuje model SA (Security Association) – skojarzenie zabezpieczeń, które określa, jaki zestaw algorytmów i kluczy będzie wykorzystywany w danym połączeniu. Ponieważ dotyczy to tylko jednego kierunku transmisji, w dwustronnej komunikacji stosuje się parę skojarzeń. IPsec może być wykorzystywany w dwóch trybach: transportowym (tylko treść pakietu jest szyfrowana i jest on stosowany w zasadzie wyłącznie przy zabezpieczaniu tunelu L2TP) oraz tunelowym (cały pakiet jest szyfrowany i stosowany przy wszystkich połączeniach: komputer-komputer, komputer-sieć czy sieć- -sieć; to podstawowy tryb korzystania z wirtualnych sieci prywatnych).

Opracowane zostały dwa podstawowe protokoły zapewniające bezpieczeństwo przesyłanych danych: 8 AH (Authentication Header) oraz 8 ESP (Encapsulating Security Payload). Ten drugi jest częściej wykorzystywany, szczególnie dlatego, że zapewnia poufność przesyłanych danych poprzez szyfrowanie pakietów algorytmami 3DES (TripleDES) i AES (Advanced Encryption Standard) oraz opcjonalne uwierzytelnianie nadawcy i ochronę integralności danych (algorytm SHA-1). Do automatycznego ustanawiania tunelu wykorzystywany jest protokół IKE (Internet Key Exchange) w wersji 1. lub 2. Najpierw obie strony połączenia uwierzytelniają się za pomocą wspólnego hasła lub certyfikatów. Gdy to nastąpi, nawiązywany jest bezpieczny kanał dla potrzeb IKE, przez który następuje uzgodnienie kluczy kryptograficznych przy użyciu algorytmu Diffie-Hellman oraz innych parametrów tuneli. IKE wykorzystuje pakiety UDP, najczęściej przesyłane na porcie 500. Wybrane algorytmy muszą być wspierane przez obie strony połączenia, gdyż w przeciwnym razie nie zostanie ono nawiązane. Dopiero wtedy tworzone są właściwe tunele IPsec i możliwa jest bezpieczna transmisja danych.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Bezpieczny kanał wirtualny »
  raport: wirtualne sieci prywatne – część I
• Superbezpieczny VPN »
  raport: wirtualne sieci prywatne – część III
• Więcej mozliwości »
  tips & tricks
• Miliardy adresów »
  niedługo czeka nas zmiana na szybszą i bardziej uniwersalną wersję protokołu IP
• Sieć bez ograniczeń »
  jak przyspieszyć pobieranie danych z sieci P2P