Úvod > Články > Virtuální privátní sítě pro vzdálený přístup

Virtuální privátní sítě pro vzdálený přístup

Minule jsme nakousli problematiku řízení přístupu prostřednictvím mechanizmů RADIUS a 802.1x. Dnes se podíváme na možnosti připojení vzdálených uživatelů prostřednictvím VPN, které využívají tunely přes veřejné sítě.

VPN (Virtual Private Network) jsou postaveny na tunelech přes veřejnou síť, ale to není jediný případ, kdy je tunelování v sítích vhodně využitelné. Nabízí propojení sítí přes páteř jiného charakteru, oddělení od ostatního síťového provozu, zabezpečení uživatele a přenášených dat a řešení administrativních problémů s adresací nebo směrováním.

Obsah původního paketu zůstává po celou dobu přenosu tunelem „nečitelný“ pro transportní síť. Nejedná se tedy o tradiční zapouzdřování v rámci vrstvové hierarchie protokolů (segmenty do paketů, pakety do rámců): rámce se mohou zapouzdřovat do rámců, pakety rovnou do paketů, či třeba rámce do transportního segmentu. Přidáním doplňujícího záhlaví se „schová“ původní datová jednotka a umožní se její přenos danou sítí, což nabízí také kvalitní utajení přenášených dat pomocí šifrování.

Tunely podporují aktivní síťové prvky jako směrovače a přepínače. Správce sítě prostřednictvím jejich konfigurace vybuduje tunel mezi dvěma místy a specifikuje jeho vlastnosti, jako typ přenášeného protokolu, typ přenosového (tunelovacího) protokolu, mechanizmus tunelování a adresy koncových uzlů tvořících začátek a konec tunelu (viz obrázek 1).

Obrázek 1: Princip tunelování

Tunelování je náročné na síťové prostředky, zejména na procesní kapacity směrovačů či přepínačů, na nichž je tunel nakonfigurován. Kvůli svým virtuálním charakteristikám jsou tunely také náročnější na diagnostiku problémů v síti i na efektivní řešení směrování v síti, protože hrozí možnost vzniku lokálních směrovacích smyček. Tunel je také implicitně chápán jako cesta o jednom skoku, ať vede přes kolik chce směrovačů. Pro průchodnost tunelů je také potřeba ošetřit pravidla na firewall (např. pro GRE pustit IP protokol 47). Nezanedbatelnou je také otázka režie, protože zapouzdřením pro přenos tunelem se datům zvyšuje objem potřebných informací v záhlaví, délka rámce/paketu a tím objem provozu přenášeného tunelem.

Tunelování na různých vrstvách

Je potřeba rozlišovat tunely podle vrstvy síťové architektury, na které se budují:

¨      tunelování na druhé (spojové) vrstvě (L2) – tunelování rámců, které může iniciovat buď klient sám (voluntary tunneling), nebo jej iniciuje přístupový server (NAS, Network Access Server) bez jakékoli iniciativy klienta (compulsory tunneling). U L2 tunelovacích protokolů musí být tunel vytvořen, udržován a ukončen samotným protokolem druhé vrstvy;

¨      tunelování na třetí (síťové) vrstvě (L3) – vyžaduje zapouzdření IP datagramu do jiného datagramu (IP v IP, IPv6 v IPv4), čímž se potlačí některé potenciálně problematické záležitosti adresace a protokolu; bezpečnostní mechanizmus je nejčastěji IPSec (Internet Protocol SECurity). Veškerá konfigurace tunelů se provádí předem, obvykle manuálně.

Mechanizmus GRE a protokol L2TP

GRE (Generic Routing Encapsulation) představuje generický mechanizmus tunelování pro libovolný typ provozu (včetně např. NetBEUI). Směrovače tvořící konce tunelu zodpovídají za zapouzdření (přidání GRE záhlaví a cílové adresy směrovače na konci tunelu), respektive odpouzdření původních paketů/rámců přenášených přes transportní síť tunelem. Po opuštění tunelu a jejich odpouzdření se rámce/pakety směrují k cíli již tradičně. GRE podporuje dvoubodové tunely, takže má zákonitě problém se škálovatelností, zejména pokud by bylo potřeba vytvořit propojení tunely každý s každým.

L2TP (Layer 2 Tunneling Protocol) poskytuje mechanizmus logického PPP (Point-to-Point Protocol) propojení vzdáleného uživatele z jeho konkrétního fyzického přístupového místa dynamicky vytvořeným tunelem (po úspěšné autentizaci) do jiného předem zkonfigurovaného fyzického místa sítě. L2TP se používá především pro připojování jednotlivých vzdálených klientů k podnikové síti prostřednictvím VPN. L2TP většinou vzdálenému klientovi VPN přidělí IP adresu odpovídající lokální síti.

Třetí verze protokolu L2TPv3 se už neomezuje pouze na rámce PPP, ale podporuje i jiné protokoly jako ATM, Frame Relay, HDLC, Ethernet. Tunel L2TP se realizuje mezi přístupovým koncentrátorem (LAC, L2TP Access Concentrator) jako klientem a síťovým serverem (LNS, L2TP Network Server). L2TP zahrnuje podporu pro vzájemnou autentizaci obou konců tunelu, LNS a LAC, ale nenabízí silnější bezpečnostní mechanizmy na ochranu paketů. L2TP lze pak zabezpečit pomocí IPSec na vyšší vrstvě.

Charakteristika VPN

Virtuální neveřejné (privátní) sítě VPN nejsou specifické svou technologií, ale způsobem efektivního využití veřejných sítí a komunikačních služeb. Využívají veřejnou (sdílenou) infrastrukturu, kterou může být internet, veřejná IP síť, veřejná síť Frame Relay na druhé nebo třetí vrstvě síťové architektury. Pro VPN se uplatňují dohody o kvalitě služeb SLA (Service Level Agreements), v nichž zákazník a provozovatel specifikují garantovanou kvalitu služby.

VPN je sice logická síť vytvořená v rámci veřejné infrastruktury, ale zachovává si charakter privátní sítě: komunikace v této síti je utajena oddělením provozu od ostatních a kvalita komunikace je zachována. VPN nabízejí ideální kombinaci tunelování, šifrování, autentizace a řízení přístupu.

Privátní IP datagramy se posílají přes VPN prostřednictvím bran VPN a klientů VPN. Brány a klienti mají nakonfigurované privátní adresy ostatních míst propojených VPN. Datagram určený na některou z těchto privátních adres zabalí do datagramu s veřejnou IP adresou. Zapouzdřený datagram se směruje podle informace ve vnějším záhlaví přes IP síť až k cílové bráně VPN, ta jej rozbalí a předá cílové stanici podle privátní adresy specifikované v záhlaví původního datagramu.

Úkolem bran VPN je dohodnout a poskytovat bezpečnostní služby. Brány mají v tomto případě klíčovou pozici: musí se postarat o bezpečný přístup do sítě pro oprávněné uživatele a o udržení neoprávněného provozu vně sítě, a také o šifrování komunikace mezi sítěmi a většinou i o překlad adres (NAT, Network Address Translation). Brány musí podporovat různé autentizační mechanizmy: digitální podpisy a RADIUS (Remote Authentication Dial-In User Service). Brána může fungovat jako RADIUS server nebo jako proxy server). Brány mohou také podporovat QoS (Quality of Service), kdy musí provádět klasifikaci a označování provozu na základě typu kvality služby, který má být pro daný provoz zajištěn.

Branami VPN mohou být směrovače, firewall nebo zvláštní zařízení. Brány mají alespoň jedno rozhraní připojené k privátní důvěryhodné síti intranet a alespoň jedno rozhraní připojené k vnější nedůvěryhodné síti. Brány VPN zahrnují jak potřebný software tak hardware, zatímco podpora komunikace přes VPN na klientských koncových zařízeních se provádí pouze softwarově.

Typy VPN

VPN lze použít pro řešení různých požadavků (viz obrázek 2), které v sobě zahrnují potřebu bezpečně komunikovat přes veřejnou síť:

¨      propojení geograficky distribuovaných pobočkových intranetů (site-to-site, nebo LAN-to-LAN) – do jednoho velkého podnikového intranetu; tyto VPN mohou být kvůli statické adresaci snadnou kořistí útočníků, proto je třeba dbát na autentizaci jednotlivých poboček (pro každé propojení zvlášť, aby při útoku nedošlo k průniku do celé sítě), spíše než jednotlivých uživatelů;

¨      vzdálený přístup (remote access) – připojení vzdáleného uživatele (mobilního nebo domácího pracovníka, teleworker/telecommuter) k podnikovému intranetu, kdy brána VPN musí vykonávat ještě funkce DHCP (Dynamic Host Configuration Protocol) a DNS (Domain Name System); VPN pro vzdálený přístup kladou nároky na řešení autentizace klientů, protože se uživatelé mohou připojovat opravdu odkudkoli a kdykoli;

¨      řešení extranetu – vytvoření sítě vně podnikového intranetu, která je přístupná pouze partnerským organizacím.

Obrázek 2: Využití VPN

Tunely ve VPN

Jak jsme naznačili v úvodu, VPN (někdy označovaná jako překryvná síť, overlay) využívá mechanizmu tunelování mezi koncovými klientskými sítěmi, kdy tunel představuje logický dvoubodový spoj, který ve skutečnosti může vést přes komplexní propojené sítě. Tunel definují dva koncové body: vstup a výstup z tunelu a mechanizmus přenosu paketu tunelem. Koncové body zajišťují mj. také autentizaci a řízení přístupu a dojednávání dalších bezpečnostních služeb. Bezpečný tunel umožňuje klientům VPN získat přístup k potřebným privátním zdrojům chráněným branami VPN.

Tunelování se používá jako transportní mechanizmus při budování VPN, ale lze jej využít i pro zajištění bezpečnosti, kdy se nezabezpečený paket vkládá do bezpečného paketu (nejčastěji zašifrovaného).

Tunelování umožňuje zachovat i nesjednocenou adresaci a směrování mezi přenosovou sítí a privátními sítěmi. Koncové body tunelů používají adresaci i směrování příslušné VPN, ale v privátních propojených sítích se může použít privátní adresace a oddělené směrování. Tunel podporuje přenos jakéhokoli protokolu, takže páteřní síť a privátní sítě přes ni propojené mohou používat různé protokoly.

L2VPN versus L3VPN

VPN lze (podobně jako tunely) realizovat na druhé nebo třetí vrstvě. VPN na druhé vrstvě jsou vhodné pro zákazníky, kteří si chtějí ponechat dohled nad interním směrováním, správou bezpečnosti a překladu adres. VPN na třetí vrstvě předpokládá, že zákazník přenechá dohled nad vlastní VPN provozovateli.

Zatímco ve VPN pro vzdálený přístup (pro mobilní profesionály a pracovníky z domova) se nejčastěji uplatní protokoly druhé vrstvy (L2VPN; typicky na základě protokolu L2TP, viz obrázek 3), nebo řešení založené na vyšších vrstvách (L3VPN: IPSec VPN, SSL VPN nebo SSH VPN, o nich bude řeč v dalším díle seriálu), pro VPN propojující distribuované pobočky podniku (site-to-site) se používá vedle IPSec také VPN na bázi MPLS (MultiProtocol Label Switching). Přehled možných metod řešení VPN uvádí tabulka. V našem seriálu se zaměřujeme na řešení vzdáleného přístupu, takže se dále nebudeme věnovat VPN využívajícím MPLS.

Obrázek 3: VPN a tunel na 2. vrstvě

Podniková VPN může mít topologii hvězdy (centrála je bezpečně propojena s každou pobočkou jednotlivě), nebo může mít komplexnější propojení do smyčkové topologie (v extrémním případě každý s každým).

Tabulka: Přehled technologií a jejich využití v různých VPN

Typ technologie

Vrstva

site-to-site

vzdálený přístup

MPLS

2/3

ano

ne

PPTP

2

ne

ano

L2TP

2

ne

ano

IPSec

3

ano

ano

SSL/TLS

4

ne

ano

SSH

4

ne

ano

Split tunneling

Některé implementace VPN umožňují tzv. rozdělené tunelování (split tunneling), které dovoluje simultánní komunikaci jak v rámci VPN, tak s vnějším světem (internetem). Jiné implementace nutí vzdálené uživatele použít VPN pro připojování k internetu vždy, kdy jsou mimo mateřskou síť. Rozdělené tunelování sice dovoluje uživatelům nezávislé připojení k internetu bez využití obranných mechanizmů privátní sítě, ale má také své bezpečnostní charakteristiky. Znemožňuje propojení z internetu do tunelu VPN, takže útočník na internetu nemá možnost se prostřednictvím připojeného klienta VPN dostat do privátní sítě.

Pokud je rozdělené tunelování úplně znemožněno, veškerý uživatelský provoz probíhá přes tunely VPN. Na straně klienta probíhá veškerá komunikace přes tunel, na straně brány VPN je provoz z tunelu určený do privátní sítě směrován do této sítě a provoz určený do internetu je směrován na hraniční směrovač/firewall, kde prochází příslušnými bezpečnostními filtry. Proto veškerá komunikace uživatele probíhá podle bezpečnostní politiky podniku, ať se připojuje zvnitřku podnikové sítě nebo vzdáleně.

Podrobnější informace k tématu VPN a tunelování (protokolech PPP, PPTP, L2TP) lze nalézt v druhém aktualizovaném vydání publikace „Moderní komunikační sítě od A do Z“, která zanedlouho vyjde v nakladatelství Computer Press, a také v publikaci „TCP/IP v kostce“ (Kopp, ISBN 80-7232-236-2).

7. 9. 2006

Autor: Ing. Rita Pužmanová, CSc., MBA

Témata

telekomunikace

Sdílejte

Přečtěte si také

 

T-Mobile testuje videohovory v LTE

Po hlasových hovorech v LTE síti začal T-Mobile testovat Video over LTE. Technologie umožní kvalitní videohovory...

 

O2 vyplatí dividendu za rok 2015, 16 korun za akcii

Akcionáři schválili dividendu 16 korun na akcii před zdaněním. Celkem tak bude na dividendách za loňský rok...

 

O2 spouští novou kampaň na O2 TV

O2 přichází s novu kampaní na populární O2 TV. Novým zákazníkům chce ukázat všechny unikátní funkce své digitální...

Nejčtenější články

Proč se na pořádný fotbal nepodíváte ani na ČT?

 

Britskou Premier League, Sky Bet Championship a španělskou ligu mohou čeští diváci sledovat pouze na Nové Digi TV a...

Naměřené rychlosti internetu na DSL.cz v říjnu 2016

 

Rychlost mobilního LTE internetu byla v říjnu nejvyšší u operátora O2. V síti 3G je nejrychlejší T-Mobile. Co se...

DSL internet nabídne rychlost připojení až 250 Mb/s

 

Společnost Česká telekomunikační infrastruktura (CETIN) zavádí technologii VDSL3, díky které nabídne v květnu vyšší...