Většina z nás si už jistě položila otázku: „Neodposlouchává někdo moji komunikaci s okolím?“ Možná byste byli překvapeni, jakou cenu mohou mít vaše data, která odesíláte do internetu. Firmy v poslední době opouští nákladné vyhrazené linky a komunikují přes internet. Zde se bez zabezpečení nelze obejít. VPN přitom patří k primárním způsobům ochrany, který si nemůžete dovolit nepoznat blíže.

Veškerá komunikace procházející internetem může být sledována, nebo záměrně pozměněna třetí osobou. Naštěstí pro uživatele je tu standard SSL, který je dnes implementován právě do protokolů pro běžnou komunikaci mezi klientem a webovými, poštovními, či FTP servery (HTTPS, POP3S, IMAPS, FTPS). Provoz je šifrován na základě certifikátů, klient si tedy může být jist, že i kdyby jeho komunikaci někdo odposlouchával, je pro něho zcela nesrozumitelná, tudíž není schopen jí zneužít.

Pronajatým linkám zvoní umíráček

Jiná situace je ovšem u firemní komunikace, která se skládá z daleko širšího spektra protokolů, než běžně využívá soukromá osoba. Do těchto protokolů není implementován standard SSL. Jak tedy zabezpečit například komunikaci mezi firemní centrálou a pobočkou někde na druhém konci republiky? Dříve se hojně využívalo služeb poskytovatelů připojení, kteří nabízeli tzv. pronajaté linky (leased line), které fyzicky spojovaly pouze 2 koncové body daných sítí, takže se komunikace nedostala do internetu. Tohle řešení bylo ovšem značně nákladné a propustnost linky zdaleka přestala dostačovat stále rostoucím požadavkům na šířku pásma. Díky rychlému rozvoji internetu, stále rostoucí šířce přenosového pásma a snižujícími se náklady na připojení je dnes stále oblíbenějším řešením tzv. VPN (Virtual Private Network), neboli virtuální privátní síť.

Když se řekně VPN

VPN si můžeme představit jako “tunel” mezi body v síti, skrze který komunikují. Tato komunikace je oddělena od ostatního provozu. Body vytvářející mezi sebou tento „tunel” mohou být např. dva routery, nebo firewally, které vzájemně propojují lokální sítě, počítač vzdáleného uživatele s firemním routerem (firewallem) a díky tomu se může uživatel dostat k firemním datům, které jsou jinak z internetu nepřístupné, nebo počítače uživatelů, kteří mezi sebou sdílejí služby a chtějí mít tento provoz oddělený od internetu. Komunikaci skrze “tunel” je možné zabezpečit pomocí šifrování, autentizace paketů a ověření uživatelského jména a hesla.

Typy VPN

Protože většina firem dnes využívá, nebo hodlá využít VPN spojení typu “bod – bod” (point to point), případně „client – server”, zaměříme se na tyto dvě varianty. Pokud budeme vytvářet spojení typu „bod – bod”, budeme potřebovat zařízení, které podporuje vytváření VPN a zároveň slouží jako VPN koncentrátor. Takovou funkcionalitu v sobě dnes zahrnuje prakticky většina firewallů a routerů. Dobrou volbou je hardwarová akcelerace šifrování, které tak probíhá v reálném čase. Nebo se nabízí softwarové řešení, které je třeba mít nainstalované na serveru, který je přístupný z internetu a může tím pádem sloužit jako “VPN brána”. Při vytváření VPN typu „client – server” je nezbytné mít na klientském počítači příslušný software, který bude navazovat spojení, ten se obecně nazývá “VPN klient”.

Vytváření VPN spojení - protokoly

Hojně využívanou a efektivní metodou pro vytváření VPN typu „bod – bod” je metoda „tunelování”. Provoz je přenášen po síti speciálně vytvořeným "tunelem". Nejčastěji používaným typem tunelování pro spojení mezi zdrojovým a cílovým směrovačem je protokol „GRE” (Generic Routing Encapsulation). K paketu, který je směrován do tunelu, je přidána hlavička (GRE header) s cílovou adresou odpovídající směrovači na konci tunelu. Hlavička obsahuje volitelně i autentizační pole a pole kontrolního součtu. Toto “zabalení” (encapsulation) paketu je v cílovém bodu tunelu odstraněno a paket pak pokračuje k cíli podle informací ve své původní IP hlavičce. Výhodou tohoto protokolu je snadná konfigurace a schopnost pracovat s překladem adres. Nevýhodou je chybějící šifrovací mechanismus. GRE tunely jsou podporovány drtivou většinou výrobců.

Princip VPN sítí

Dalším typem virtuálních sítí, jsou sítě s komutovaným přístupem (VPDN - Virtual Private Dial Networks), které se využívají právě u VPN typu „client – server”. V podstatě lze říci, že tento typ VPN využívá dvou standardů, a to L2TP(layer 2 tuneling protocol) a PPTP (Point-to-Point Tunneling Protocol).

Standard L2TP je tzv. “povinným” typem tunelování, vytvoření tunelu probíhá tak, že se uživatel připojí k přístupovému serveru (dial-up server, network access server) a na základě jeho konfiguračního profilu proběhne autentizace. Je-li ověření úspěšné, je dynamicky vytvořen L2TP tunel. Nevýhodou je chybějící šifrování.

PPTP je protokol pro VPN vyvinutý firmou Microsoft. Je postaven nad protokolem PPP, který se stará o navázání spojení s poskytovatelem. Poté se vytvoří nové, pro poskytovatele neviditelné spojení se serverem PPTP. Tento protokol je standardně podporován v operačních systémech MS Windows. V GNU/Linuxu existuje implementace PopTop. Nevýhodou je slabší proces autentizace.

V současné době zřejmě nejvyužívanější způsob vytváření VPN je pomocí IPSec (IP Security Protocol). Lze ho bez problémů používat v IPv4 a pro protokol IPv6 byl zařazen již jako povinná součást. IPSec definuje přidání bezpečnostního mechanismu do standardní IP vrstvy, kterými jsou autentizace a šifrování paketů.

IPSec – dobrá volba

Pomocí IPSec protokolu lze vytvářet VPN typu “bod – bod” i „klient – server”. Velkou výhodou IPSecu je právě mechanismus zabezpečení paketu, který může být šifrován kryptovacím mechanismem, jaký si zvolíte (DES, 3DES, AES, …) a ověřen pomocí SHA-1, nebo MD5.

Výrobci zařízení podporují IPSec prakticky všichni. Pro VPN typu „client – server” si ale zpravidla budete muset přikoupit VPN klienta přímo od výrobce, neboť řada z nich implementuje do svých zařízení vlastní způsob navazování komunikace pro tento typ VPN spojení, takže podle správného algoritmu navazuje spojení jedině proprietární klient. Nejedná se o horentní sumy a pokud máte ve firmě zaměstnance, kteří vzdálený přístup do vaší LAN potřebují, rozhodně se vyplatí do VPN klienta investovat. U VPN typu „bod – bod” toto pravidlo neplatí a zařízení různých výrobců mezi sebou VPN spojení téměř vždy naváží. Platí však, že IPSec představuje spíše doporučení, nežli standard, proto se při konfiguraci zařízení různých výrobců proti sobě můžete docela zapotit.

Jak to funguje

VPN typu „bod – bod” se definuje na koncových bodech LAN, jimiž jsou zpravidla firewall, nebo router. Spojuje dvě lokální sítě, které se nacházejí za těmito body. U VPN typu „client – server” je situace obdobná, jen místo routeru, nebo firewallu je na jedné straně VPN klient. VPN se může navazovat ve dvou módech, a sice „Main mode”, kdy mají obě strany pevnou IP adresu. Potom je jedno, která z nich zahájí navazování a „Aggressive mode”, kdy jedna strana má adresu přidělovanou dynamicky, v tom případě musí zahajovat VPN vždy strana s dynamicky přidělovanou IP adresou. Dále si můžeme vybrat, jestli budeme pro šifrování používat „předsdílený klíč”(Preshared Key), který musí mít obě strany shodné, nebo použijeme certifikáty.

Navazování VPN probíhá ve dvou fázích pomocí protokolu IKE. V 1. fázi si obě strany mezi sebou vymění „návrhy”(Proposals), jak zašifrovat a autentikovat komunikační kanál. Každá strana může navrhnout několik možností, jak kanál zabezpečit, podmínkou je, aby se alespoň v jednom návrhu shodly. Každý návrh v 1. fázi obsahuje následující hodnoty:

• použije-li se pro zašifrování komunikace „předsdílený klíč”, nebo certifikát ;
• jaký algoritmus bude použit pro výměnu klíčů (Diffie Hellman Group 1, 2, nebo 5)
• algoritmus pro šifrování (DES, 3DES, AES128, …)
• autentikační algoritmus (SHA-1, MD5).

Dojde-li ke shodě ve více návrzích, zpravidla se vybere ten, který má nejsilnější šifrovací algoritmus. Jakmile se úspěšně dokončí fáze 1, je komunikační kanál již plně zašifrován. Druhá fáze probíhá podobným způsobem, s tím rozdílem, že v této fázi se obě strany musí shodnout na způsobu zabezpečení přenášených dat. Po dokončení druhé fáze je VPN navázána a můžete směle komunikovat bezpečně.

Další podstatnou výhodou protokolu IPSec je bezproblémová komunikace i přes překlad adres (NAT). IPSec VPN totiž disponují funkcionalitou „NAT-Traversal”(NAT-T), která řeší přechod paketu přes NAT pomocí přidání UDP hlavičky.

VPN pomocí SSL

Velký rozvoj v oblasti přístupu k firemním datům zaznamenala za poslední dva roky technologie SSL VPN. Jedná se o řešení VPN typu „client – server”. K tomuto typu VPN je nezbytné vlastnit zařízení SSL VPN, případně software pro SSL VPN, ke kterému se uživatelé budou přihlašovat. Z hlediska uživatele je toto řešení velmi komfortní, protože ke sdílení firemních dat nepotřebuje nic víc, než standardní webový prohlížeč.

Před přihlášením uživatel pouze přijme nabízený certifikát a dále je veškerá komunikace šifrována. Z pohledu administrace jde o velmi silný nástroj, jak detailně nastavit přístup k firemním datům. Příkladně lze nastavit, aby zařízení během přihlášení zkontrolovalo aktuální databázi antivirového programu a pokud nebude nahrána poslední verze, bude uživatel moci například pouze číst soubory. Možností nastavení je celá řada.

Jaké zvolit řešení?

Pro většinu firem, které hodlají investovat do VPN řešení, budou rozhodující argumenty v zásadě dva, tím prvním bude cena a druhým výkonové parametry. Pokud se jedná o cenu, lépe jsou na tom softwarová řešení. Například pro linuxové distribuce se nabízí řešení zcela zdarma. Jeden příklad za všechny, pro VPN gateway je to OpenVPN a jako klient známý FreeS/WAN.

Pro operační systémy MS Windows existuje nepřeberné množství různých aplikací, které umožňují vytváření VPN i VPN klientů. S výhodou se dá využít softwarových firewallů, které tuto funkci často nabízejí.

Podíváme-li se ovšem na VPN řešení z hlediska výkonnostního, má navrch jednoznačně hardwarové řešení. U softwarových VPN totiž záleží na aktuálním vytížení procesoru, protože šifrování je záležitostí právě jeho, zatímco firewally, potažmo routery, mívají hardwarovou akceleraci pro šifrování provozu. Pro příklad, i ten nejmenší firewall firmy Juniper určený pro segment malých firem (Netscreen 5GT) zvládá šifrovat provoz s propustností až 25 Mb/s při použití algoritmu 3DES. Obecně lze tedy říci, že na rozdíl od hardwarových řešení se u softwarových nedá propustnost VPN garantovat.

Jan Bufka

Autor pracuje ve společnosti VUMS DataCom na pozici technické podpory pro zařízení firem Juniper Networks a Radware. Specializuje se na bezpečnost počítačových sítí.

Článek vyšel v časopise Connect! číslo 01-2006. Zaujal vás? Objednejte si předplatné.