Założenia i wymagania na sieć VPN

Sieć VPN jest rozszerzeniem wewnętrznej sieci lokalnej, które stanowią dwukierunkowe kanały służące do transmisji danych przez sieci publiczne z zachowaniem bezpieczeństwa przesyłanych danych. Wirtualne sieci prywatne pozwalają na transfer danych pomiędzy dwoma odległymi komputerami. Podczas tego połączenia dane są szyfrowane, dzięki czemu (nawet w przypadku przechwycenia ich przez osoby trzecie) są nie do odczytania. Proces deszyfrowania wymaga użycia odpowiedniego tajnego klucza.

1. Założenia i wymagania na sieć VPN
Wirtualne sieci prywatne tworzą w ogólnodostępnej sieci publicznej wydzielone kanały (tunele), które dzięki wykorzystaniu odpowiednich mechanizmów bezpieczeństwa uniemożliwiają włamanie się lub przechwycenie transmitowanych danych. Do najważniejszych takich mechanizmów można zaliczyć:

• weryfikacja tożsamości zdalnego użytkownika,
  
• szyfrowanie informacji,
  
• enkapsulacja w pakietach IP.

Stosowanie wirtualnych sieci prywatnych zapewnia bezpiecznie połączenie pomiędzy dwoma segmentami sieci, np. pomiędzy centralą firmy a oddziałem w innym mieści. Koszt wykorzystania dostępnej sieci publicznej do transferu danych jest zdecydowanie niższy niż w przypadku bezpośredniego łączenia się z oddziałem firmy. Dodatkowo pracownicy firmy, przebywający z dala od centrali, mogą przekazywać informacje za pomocą wirtualnych sieci prywatnych. Do transferu danych można także byłoby użyć Internetu, ale w przypadku przesyłania poufnych danych pojawia się problem bezpieczeństwa.

Bardzo ważną zaletą wynikająca z zastosowania rozwiązań VPN jest to, że dzięki wykorzystywaniu bezpiecznych metod transmisji pozwalają zdalnym pracownikom na dostęp do zasobów sieciowych danej firmy lub wewnętrznych baz danych.

Wirtualne sieci prywatne można budować na podstawie różnorodnych elementów sprzętowych i programowych. Sieci VPN mogą wykorzystywać istniejące już urządzenia, np. firewalle oddzielające transfer danych w sieci lokalnej od Internetu albo odpowiednie routery. Taki sprzęt zapewnia niezbędne funkcje do działania wirtualnych sieci prywatnych: uwierzytelnianie, filtrowanie, enkapsulację i szyfrowanie.

Dzięki specjalnie zaprojektowanym protokołom jak: PPTP, L2TP, SSL i IPSec, sieci VPN można tworzyć na systemach: Windows, Linux czy innych platformach uniksowych. W przypadku Linuksa można skorzystać z pakietu FreeS/WAN. Z kolei w systemie Windows zaimplementowano protokół PPTP i IPSec.

W skład połączenia VPN wchodzą następujące składniki:

• serwer VPN - jest to komputer, który akceptuje połączenia od klientów VPN. Serwer ten może obsługiwać połączenia zdalnego dostępu lub połączenia VPN pomiędzy routerami.
  
• klient VPN - jest to komputer lub router, który inicjuje połączenia VPN z serwerem. Klientami mogą być dowolne komputery obsługujące protokoły szyfrujące PPTP, L2TP lub IPSec.
  
• tunelowanie - proces enkapsulacji, czyli kapsułkowanie pakietów w specjalne ramki, które umożliwiają transport tunelem.
  
• połączenie VPN - jest to połączenie, które emuluje transmisję punkt-punkt z szyfrowaniem przesyłanych danych. Istnieją dwa rodzaje połączeń: router-router oraz połączenie zdalne pomiędzy komputerem klienta i serwerem firmy.

Sieci VPN powinny spełniać wiele wymagań, znacznie przewyższających wymagania stawiane protokołom stosowanym w sieci Internet. Do podstawowych wymagań z zakresu bezpieczeństwa i ochrony danych należy zaliczyć:

• poufność - atakujący nie powinien być w stanie określić zawartości wiadomości. Zakładając, że nie chodzi wyłącznie o rozszyfrowanie wiadomości, atakujący może wyrządzić szkody znając wyłącznie rozmiar szyfrowanych danych obserwując wzorce bitów w danych szyfrowanych lub też uzyskując dostęp do chociażby jednego bitu.
  
• uwierzytelnianie i kontrola dostępu - atakujący nie powinien być w stanie dodać żadnych danych mogących udawać dane prawidłowe. Należy wykrywać sytuacje, w których atakujący może powtórzyć wiadomość autentyczną.
  
• ochrona integralności - atakujący nie powinien być w stanie zmodyfikować zawartości wiadomości. Należy pamiętać o ochronie integralności przepływu danych, w których atakujący nie powinien być w stanie umieścić, usunąć lub zmienić kolejności przesyłanych wiadomości. Atakujący nie musi pokonać w zasadzie żadnych zabezpieczeń (poufność danych, uwierzytelnianie, integralność danych), aby wykonać wiele rodzajów ataków modyfikujących przepływ danych w sieci VPN.

Istnieją trzy główne typy architektury VPN: host-to-host, host-to-gateway i gateway-to-gateway. Zostały one przedstawione i omówione na następnej stronie artykułu.