17
Wirtualne sieci prywatne
WIRTUALNE SIECI PRYWATNE (Virtual Private Networks –VPN)
KLASY SIECI VPN
Projekt wykonali :
Mariusz Obuchowski
Aleksander Norkiewicz
Spis treści :
1 . Wprowadzenie. 3
2.Wyzwania zdalnego sterowania. 3
3. Czym jest wirtualna sieć prywatna . 4
4. Korzyści technologii wirtualnej wirtualnej sieci prywatnej. 6
Dlaczego wdrażać wirtualną sieć prywatną ? 6
5. Zasada funkcjonowania technologii wirtualnych sieci prywatnych . 7
5.1 Tunelowanie 7
5.2 Protokoły tunelowania. 9
5.3 Podsumowanie technologii tunelowania . 10
5.4 Bezpieczeństwo 10
5.4.1 Autoryzacja bezpieczeństwa, identyfikacja, rozliczanie . 11
6.2. Typowe implementacje VPN. 19
7. Podsumowanie korzyści zapewnionych przez wirtualną sieć prywatną . 22
7.1 Nabywanie usług wirtualnej sieci prywatnej w firmach obcych. 22
7.2 Zastosowanie technologii wirtualnych sieic prywatnych w sieci prywatnej. 23
Literatura 24
W okresie ostatnich kilku lat jesteśmy świadkami nieuniknionej, masowej komercjalizacji Internetu. Ilustracją tej sytuacji niech będzie fakt, że liczba serwerów w sieci WWW wzrosła od poziomu 100 w 1993 roku do ponad 60 milionów w roku 1996 r.
W sytuacji, kiedy zainteresowane osoby realizowały dostęp do sieci ogólnoświatowej na szereg różnych sposobów, wiele firm rozpoczęło poszukiwania możliwości poszukiwania tych nowo powstających możliwości komunikowania się ze swoimi zlokalizowanymi w innych miejscach oddziałami, branżami, partnerami, oraz sprzedawcami.
Jedna z takich metod dostępu oparta jest na zastosowaniu wirtualnych sieci prywatnych (VPN) oznaczanych w skrócie VPN.
Czym jest wirtualna sieć prywatna (VPN)? W przedkładanym projekcie dokonujemy przeglądu obowiązujących aktualnie definicji, postaramy się znaleźć odpowiedź na pytanie, dlaczego firmy rezygnują z własnych sieci zdalnego dostępu, decydując się na korzystanie w tym zakresie z usług świadczonych przez dostawców zewnętrznych. W naszych rozważaniach skoncentrujemy się na wyjaśnieniach sposobu, w jaki technologie udostępniane przez wirtualne sieci prywatne mogą znaleźć zastosowanie w wewnętrznych sieciach firmowych. Przeanalizujemy niektóre z tych problemów oraz z wyzwań, z którymi konfrontowani są menedżerowie w sytuacjach, kiedy podejmują decyzję wdrożenia zdalnego dostępu. Zajmiemy się również czynnikami kryjącymi się za panującą ogólnie tendencją wdrażania wirtualnych sieci prywatnych.
W następnej części zajmiemy się bardziej technicznymi szczegółami funkcjonowania wirtualnych sieci prywatnych. Tematy omawiane w tej części obejmują dwa kluczowe elementy technologii wirtualnych sieci prywatnych: Protokoły tunelowania, bezpieczeństwo . W trzeciej części projektu postaramy się przedstawić klasyfikacje wirtualnych sieci prywatnych
Menedżerowie sieci, odpowiedzialni za zastosowanie rozwiązań zdalnego dostępu, konfrontowani są kilkoma głównymi wyzwaniami, do których zaliczyć należy:
konieczność zapewnienia użytkownikom bezproblemowego dostępu do sieci firmowych LAN, Internet oraz do określonych baz danych.
Przed menedżerami sieci stawiane jest zadanie, polegające na zapewnieniu połączenia każdego zainteresowanego ze wszystkimi zasobami, niezależnie od miejsca, w którym znajdują się miejsca i osoby. Warunkiem zachowania konkurencyjności we współczesnym świecie globalnej gospodarki jest dostarczenie swoim pracownikom informacji, które są łatwo dostępne w każdym miejscu i w każdej chwili. Pracownicy zajmujący się telekomunikacją dodatkowo uwzględniają żądanie dostępu do zasobów danych firmy.
Rezultatem tego konkurencyjnego środowiska globalnego jest dynamiczny rozwój rynków systemu zdalnego dostępu. Opierając się na badaniach firmy Infonetic Research przeprowadzonych w roku 1996, dochody rynku systemów zdalnego dostępu osiągnęły poziom 2,1 bilionów $; przewiduje się, że dochody te osiągną w roku 1998 poziom 4,4 bilionów $. Jednocześnie należy stwierdzić, że wzrost budżetów nie postępował w tej samej skali, w jakiej dochodziło do wzrostu zapotrzebowania na usługi w zakresie zdalnego dostępu. Sytuacja taka stwarza wyzwania dla menedżerów odpowiedzialnych za działy informatyki (przetwarzania danych) .
Controlling oraz redukcja kosztów dostępu
Koszty zdalnego dostępu są tworzone przez dwa składniki: koszty sprzętu oraz koszty bieżących opłat (koszty okresowe). Koszty sprzętu reprezentują wydatki kapitałowe, ponoszone przez firmę na zakup węzłów komunikacyjnych zdalnego dostępu. Podkreślić jednak należy, że zasadnicza cześć kosztów ogólnych zdalnego dostępu może być przypisana kosztom okresowym, które często nie są ujęte w kalkulacji kosztu na port. Koszty okresowe obejmują koszty łączy, koszty konserwacji sprzętu oraz koszty zarządzania siecią. Menedżerowie sieci mogą przykładowo obniżyć koszty okresowe zdalnego dostępu poprzez konsolidację (połączenie) wielu grup aplikacji w jedno rozwiązanie zdalnego dostępu. Ta redukcja kosztów pozwala z kolei na obniżenie kosztów stałych zarządzania siecią.
Koszty okresowe stanowią ważny czynnik przy analizie rozwiązania zdalnego dostępu. Wynika to z faktu, że w stosunkowo krótkim okresie czasu osiągają one często większy udział w kosztach ogólnych, niż początkowe wydatki kapitałowe. Ponadto, działy informatyki (komputerowe) muszą maksymalizować swoje zyski z kwot zainwestowanych w zakup posiadanego przez nie sprzętu komputerowego. Cel ten może być osiągnięty pod warunkiem, że posiadany sprzęt komputerowy może zostać wykorzystany jako integralna część rozwiązania zdalnego dostępu.
Zapewnienie rozwiązania zdalnego dostępu w taki sposób, aby było one niezawodne, elastyczne oraz skalowalne tak, aby mogło ono zmieniać się wraz ze zmieniającymi się wymaganiami
Zmiany sieci mają charakter zmian ciągłych; zmiany te stanowią odpowiedź na pojawianie się nowych aplikacji; ta właśnie sytuacja wyjaśnia, dlaczego działy informatyki przedsiębiorstw poszukują rozwiązania zdalnego dostępu, charakteryzującego się wysoką elastycznością oraz skalowalnością. Poszukiwane są systemy, pozwalające na ich szybkie modyfikacje przy możliwych do zaakceptowania kosztach w miarę zwiększania się stawianych przed systemami wymagań.
Pojęcie "wirtualnej sieci prywatnej" jest stosowane już od ponad 10 lat i mamy do czynienia z różną interpretacją tego pojęcia przez różne osoby. Analiza Internetu pozwoliła nam na określenie definicji, która jest na tyle szeroka (ogólna), że obejmuje wszystkie możliwości.
Zamiast budowania prywatnej sieci o ustalonych przyporządkowaniach łączy (linii), wykorzystuje się koncepcję "obłoku" (pokazaną na Rysunku 1). W koncepcji tej wszystkie węzły są połączone za pośrednictwem sieci publicznej.
Rysunek 1: Wirtualna sieć prywatna reprezentuje sieć, w której sieć publiczna jest zastosowana dla sieci prywatnej.
Znane są również trzy definicje wirtualnych sieci prywatnych:
Wirtualne sieci prywatne dla przesyłania głosu z wykorzystaniem sieci PSTN. (Public Switched Telephone Network - publiczna komutowana sieć telefoniczna).
Najdłużej istniejącym rodzajem wirtualnej sieci prywatnej jest sieć przesyłania głosu, oferowana przez głównych operatorów sieci PSTN. Jeszcze do niedawna usługi te były ograniczone do terytorium USA, ale w miarę zmiany reguł, obowiązujących w zakresie przemysłu telekomunikacyjnego oferowane są w wielu miejscach w Europie oraz na innych kontynentach nowe formy usług wirtualnych sieci prywatnych.
Wirtualne sieci prywatne dla przesyłania danych w oparciu o zastosowanie protokołu X.25, Frame Relay (przekazywanie ramki) lub ATM PDNs. Innymi aplikacjami, które często są stosowane zamiennie zamiast pojęcia wirtualnej sieci prywatnej, jest zastosowanie publicznych sieci danych, takich, jak X.25 Frame Relay (przekazywanie ramki) lub częściej ATM.
Wirtualne sieci prywatne wykorzystujące Internet. Zastosowanie sieci Internet w celu zbudowania wirtualnych sieci prywatnych stanowi jeden z głównych tematów projektu . Większość z nas traktuje Internet jako obszar do "żeglowania" w celu wyszukiwania informacji lub reklamowania swojej firmy. Pokazuje jednak, w jaki sposób firmy oraz Dostawcy usług internetowych (ISP - Internet Service Provider ) mogą wykorzystać Internet dla stworzenia wirtualnej sieci prywatnej, zapewniającej konkurencyjne zalety.
Tradycyjne sieci zdalnego dostępu. Tradycyjne sieci firmowe zapewniają komutowany dostęp do zasobów firmowych. Użytkownicy zdalni, potrzebujący uzyskać dostęp do tych danych, zgłaszają się telefonicznie do sieci, korzystając z publicznych sieci komutowanych. Uzyskują oni dostęp do sieci lokalnej firmy za pośrednictwem puli modemów oraz urządzenia zapewniającego dostęp (patrz Rysunek 2).
Po zweryfikowaniu zgłoszenia oraz po przejściu przez urządzenie zapewniające dostęp zgłaszający się użytkownicy są wprowadzani do bazowej sieci lokalnej firmy.
Rysunek 2: Tradycyjne Sieci Zdalnego Dostępu
Przedstawiony powyżej tradycyjny układ posiada właściwe dla siebie wady:
- Wzrost stopnia wykorzystania pociąga za sobą wzrost ilości urządzeń zapewniających dostęp; oznacza to konieczność zakupu większej ilości urządzeń przeznaczonych dla zapewnienia dostępu do sieci LAN.
- Zakupiony sprzęt może być wykorzystywany tylko dla dostępu do sieci LAN; nie nadaje się on do wykorzystania dla celów zarządzania i kontrolowania przesyłaniem dotyczącym sieci LAN.
- W związku z tym, że użytkownicy zdalni wykorzystują publiczną komutowaną sieć telefoniczną (PSTN) w celu uzyskania dostępu do ich firmowej sieci LAN, opłaty za rozmowy międzymiastowe mogą okazać się drogie.
Zastosowanie sieci internet oraz wirtualnej sieci prywatnej dla potrzeb Zdalnego Dostępu.
W sytuacji, kiedy firmy wykorzystują opartą na internecie wirtualną sieć prywatną dla potrzeb dostępu zdalnego, użytkownik zdalny (również użytkownik wykonujący pracę w domu) telefonuje do lokalnego dostawcy usług internetowych za jednolitą (zryczałtowaną) stawkę, opłacaną miesięcznie. Dostawca usług internetowych rozpoznaje, czy numer telefonu przeznaczony jest dla określonej firmy i przełącza zgłoszenie do sieci firmowej użytkownika zdalnego. Po zweryfikowaniu użytkownika uzyskuje on dostęp do serwerów plików firmy oraz innych zasobów i użytkownik ma wrażenie, że dołączony jest do sieci lokalnej. Z punktu widzenia użytkownika wynik jest dokładnie taki sam jak gdyby zgłaszał się bezpośrednio do urządzenia zapewniającego dostęp zlokalizowanego w prywatnej sieci LAN firmy, z tym wyjątkiem, że użytkownik jedynie wykonuje lokalny telefon do dostawcy usług internetowych (patrz rysunek 3).
Rysunek 3: Wykorzystanie sieci internet oraz wirtualnej sieci prywatnej dla
Zdalnego Dostępu.
Firma może wdrożyć technologię wirtualnej sieci prywatnej w swoich pomieszczeniach (in-house), albo może zdecydować się na zakup usług zdalnego dostępu u dostawcy usług internetowych. Zaletą firmowego wdrożenia technologii WSP są niższe koszty. Dedykowana szerokość pasma jest droższa od zastosowania technologii wirtualnej sieci prywatnej, w sytuacji kiedy siecią publiczną jest internet. Opierając się na badaniach opublikowanych w czasopiśmie Communications Week, w artykule "Safer Nets? " (bezpieczniejsze sieci?) (17 marzec 1997), "utworzenie sieci prywatnej na bazie internetu jest dziesięć razy tańsze, aniżeli zastosowanie dedykowanych łączy dzierżawionych". Istotne znaczenie posiada przy tym nie tylko koszt łączy. W rozwiązaniu opartym na koncepcji wirtualnej sieci prywatnej firma ponosiła będzie niższe początkowe koszty kapitałowe, jak również niższe koszty eksploatacji związane z obsługą i konserwacją.
Może okazać się, że podjęcie decyzji korzystania z usług związanych z siecią zdalnego dostępu od dostawcy takich usług nie jest właściwym rozwiązaniem dla każdej firmy.
Podejmując decyzję firma musi przeanalizować szereg aspektów; do aspektów tych zaliczyć należy gotowość rezygnacji z kontroli nad swoją siecią zdalnego dostępu na rzecz dostawcy usług w porównaniu z rozwiązaniem polegającym na posiadaniu zasobów oraz budżetu dla utrzymania (zachowania) swojej sieci zdalnego dostępu w siedzibie głównej firmy. Kolejnym aspektem są również możliwości (zdolność funkcjonowania) w szczególności jeżeli dla utworzenia wirtualnej sieci prywatnej zastosowany jest internet. W związku z tym, że żaden sprzedawca nie posiada na własność wszystkich połączeń do internetu, dostawca usług internetowych nie może zagwarantować stabilnych parametrów działania w całej sieci internet. Dostawca usług internetowych może jedynie zagwarantować sprawność funkcjonowania w odniesieniu do własnego sprzętu dostępu.
Dodatkowym aspektem wymagającym uwzględnienia w analizie jest brak bezpieczeństwa danych oraz sieci, stanowiący nieodłączną cechę internetu.
W wyniku analizy tych aspektów firmy mogą zdecydować się na wybór opcji nabywania usług od dostawców obcych tylko w określonym zastosowaniu (w przeciwieństwie do całej sieci zdalnego dostępu); może tutaj chodzić przykładowo o pocztę elektroniczną (e-mail), w przypadku której bezpieczeństwo oraz niezawodność działania nie odgrywają tak ważnej roli jak w niektórych innych krytycznych zastosowaniach.
Nawet, jeżeli firmy zdecydują się na utrzymanie Sieci Zdalnego Dostępu w obrębie własnych budynków, mogą one zawsze jeszcze korzystać z zalet zapewnionych przez technologię wirtualnych sieci prywatnych poprzez zastosowanie niektórych technik wirtualnej sieci prywatnych w istniejącej infrastrukturze firmy. Firmy osiągają te same korzyści z obniżenia kosztów zdalnego dostępu.
Technologia Wirtualnych Sieci Prywatnych oparta jest na dwóch kluczowych technologiach, które omówione zostaną w tym rozdziale: tunelowanie, bezpieczeństwo
Technologia tunelowania zapewnia metody rozszerzenia sesji zdalnego dostępu (zazwyczaj PPP) w całej sieci IP, takiej jak Internet. Dane dołączane przy użyciu protokołów wyższego rzędu internetu.
Rysunek 4: Porównanie koncepcji tradycyjnych systemów zdalnego dostępu (górna część rysunku) oraz tunelowania dostępu zdalnego (dolna część rysunku).
Poprzez zastosowanie tunelu użytkownik zdalny zgłasza się do lokalnego punktu obecności (POP) i zgłoszenie jest następnie logicznie przesyłane (tunelowane) do serwera zdalnego dostępu w firmie X (patrz Rysunek 4) za pośrednictwem sieci publicznej. Użytkownik zdalny nie ma możliwości obserwacji wykorzystywanej sieci zapewnionej przez dostawcę usług internetowych. Odnosi on wrażenie bezpośredniego połączenia z siecią firmową.
Funkcje zdalnego dostępu w sieciach tradycyjnych realizowane były przez odrębne urządzenia połączone kablami szeregowymi, które definiowały przyporządkowanie statyczne. Technologia tunelowania eliminuje konieczność "przyporządkowania statycznego" lub metody połączeń kablowych pomiędzy portem dostępu oraz portem serwera zdalnego dostępu (patrz Rysunek 5). Protokoły tunelowania pozwalają na dynamiczną alokację portu; oznacza to, że potrzebne użytkownikowi porty są portami otrzymywanymi; mówiąc dokładniej są portami uzyskiwanymi w chwili, kiedy są one potrzebne.
Rysunek 5: Koncepcja tunelowania protokołów .
W przypadku, kiedy urządzenie zdalnego dostępu obsługuje protokoły tunelowania serwer zdalnego dostępu może być oddzielony od puli modemu. Oznacza to, że serwer zdalnego dostępu może być albo zintegrowany w tej samej skrzynce, jak modemy, albo może znajdować się na drugiej stronie świata połączonego siecią internetu. Wynikiem takiej koncepcji jest większa elastyczność, co znajduje swoje odzwierciedlenie w oszczędności kosztów (pokazuje to przykład poniżej).
Rysunek. 6: Technologia wirtualnych sieci prywatnych w środowisku firmowym
Przedstawiony powyżej scenariusz stanowi przykład pokazujący, w jaki sposób zastosowanie technologii tunelowania wirtualnych sieci prywatnych w prywatnej sieci firmowej może zapewnić korzyści. Na rysunku 6 tunel łączy dwie różne lokalizacje w budynku za pośrednictwem bazowej sieci firmy. W tej sytuacji, Serwer Zdalnego Dostępu, w którym mieszczą się wrażliwe informacje nie musi już być umieszczony w szafce okablowania, do której ma dostęp każdy. Tworzony jest tunel dzięki czemu funkcje Serwera Zdalnego Dostępu rezydują w serwerze Windows NT zlokalizowanym w zamkniętym ośrodku danych, podczas kiedy urządzenia dostępu do sieci WAN znajdują się w szafce okablowania. Ponadto, w związku z tym, że nie ma już potrzeby stosowania odrębnego Serwera Zdalnego Dostępu, manadżerowie sieci mogą zredukować koszty Urządzeń Zdalnego Dostępu poprzez wykorzystanie posiadanego serwera NT zamiast instalowania dedykowanych Serwerów Zdalnego Dostępu.
Aktualnie dostępne są dwa protokołu tunelowania wykorzystywane obecnie dla zestawienia tuneli wirtualnych sieci prywatnych. Protokół Layer-Two-Forwarding (protokół przesyłania warstwy drugiej) lub L2F oparty jest na projekcie internetu. Protokół tunelowania łączący dwie stacje (Point-to-Point-Tunneling Protokol lub PPTP) opracowany został przez istotną grupę sprzedawców. Zarówno protokół PPTP jak i protokół L2F mają swoje zalety, ale żaden z tych protokołów nie pełni obecnie funkcji standardu. Aktualnie pojawił się inny protokół łączący w sobie najlepsze cechy obydwu wspomnianych powyżej protokołów; protokół ten posiada nazwę "Layer-Two-Forwarding (protokół tunelowania warstwy dwa) lub skrótowo L2TP.
Każdy protokół posiada własną terminologię (patrz Rysunek 7) opisującą sposób zestawiania tuneli, jako że każdy z tych protokołów związany jest z funkcjami puli modemów oraz Serwera Zdalnego Dostępu. W celu uproszczenia całej sprawy w pozostałej części tego opracowania zastosujemy określenia protokołu L2F dla opisania procedur tunelowania.
Rysunek 7: Technologia tunelowania.
Podstawowym zadaniem Serwera Dostępu do sieci (NAS) jest negocjowanie zestawienie tunelu z przejściem macierzystym (Home Gateway). Serwer NAS odpowiada na zapytania i zawiadamia przejście macierzyste (Home Gateway), że przesłane zostało żądanie sesji wirtualnej sieci prywatnej. Przejście macierzyste (Home Gateway) realizuje inne zadania aniżeli serwer NAS; kończy ono sesję PPP i realizuje wszystkie funkcje Serwera Zdalnego Dostępu, łącznie z weryfikacją oraz negocjacją protokołu. Dla użytkownika jest zrozumienie faktu, że różni sprzedawcy obsługują różne protokoły albo w sieci NAS oraz Home Gateway. W celu prawidłowego ustawienia wirtualnej sieci prywatnej; manadżer sieci musi określić zapotrzebowanie w zakresie połączeń, jakie protokoły mają być obsługiwane, do jakiego urządzenia odwołuje się sprzedawca oraz jakie urządzenie stosowane jest w sieci.
Dostawcy usług internetowych potrzebują elastycznych rozwiązań, które pozwolą im na oferowanie konkurencyjnych usług dla wszystkich klientów. W związku z tym, że ich klienci wybrali technologię Home Gateway dostawcy usług internetowych muszą zapewnić zarówno usługi na podstawie protokołu PPTP jak i usługi L2F. Jeżeli firmy nie posiadają standardu obejmującego całą firmę będą oni potrzebowali obsługi obydwu protokołów. Na koniec, dostawcy usług internetowych oraz manadżerowie sieci firmowych poszukują sprzedawcy, który zapewniał będzie realizację przyszłych standardów, takich jak wprowadzany standard L2TP.
Przeanalizowaliśmy kilka zalet zastosowania internetu dla utworzenia wirtualnej sieci prywatnej, ale stwierdziliśmy tutaj również potencjalny problem. Jakkolwiek jest rzeczą korzystną dla pracowników dysponowanie dostępem do ich sieci prywatnej z dowolnego miejsca na świecie za cenę lokalnej opłaty telefonicznej, to jeżeli nie zostanie odpowiednio rozwiązany problem bezpieczeństwa, każdy może również uzyskać dostęp do tej sieci prywatnej.
Jednym poziomem bezpieczeństwa dla zdalnego dostępu jest nazwa użytkownika i hasło określane często pojęciem bezpieczeństwa "AAA"(Authentication, Authorization,and Accounting ). Razem elementy te są pomocne w zapewnieniu:
Autoryzacja:
-użytkownik zdalny zostaje autoryzowany dla dostępu do sieci;
Identyfikacja:
-potwierdzenie, że faktycznie osoba autoryzowana uzyskuje dostęp do sieci
...
twardy510