Sieci > Bezpieczeństwo > Rozwiązania firmy Cisco > Wirtualne sieci prywatne
IOS VPN Routers VPN Concentrators PIX Firewalls
Wirtualne sieci prywatne (ang. Virtual Private Network - VPN) wykorzystują zaawansowane szyfrowanie i tunelowanie, aby ustanowić bezpieczne połączenie ponad dostępną siecią, jaką jest na przykład Internet. Wykorzystanie istniejącej sieć do przesyłania prywatnych danych pozwala znacznie ograniczyć koszty, zachowując jednocześnie taki sam poziom bezpieczeństwa jak w sieciach prywatnych. Tabela 4.3 przedstawia technologie zastosowane przez Cisco dla zapewnienia bezpieczeństwa VPN.
Tabela 4.3 Rozwiązania Cisco VPN oparte na standardach bezpieczeństwa [1]
VPN pozwala zrealizować bezpieczny dostęp do zasobów chronionej sieci dla zdalnych użytkowników (ang. Remote Access VPN). Mogą to być na przykład zdalni (ang. telecommuters) lub przemieszczający się pracownicy (ang. mobile workers), którzy podłączają się do firmowej sieci z różnych zakątków świata. Intranetowe wirtualne sieci prywatne (ang. Intranet VPN) umożliwiają połączenie głównej siedziby firmy z jej odległymi biurami i oddziałami. Bezpieczeństwo, niezawodność i wydajność VPN sprawiają, że fizyczna lokalizacja tych jednostek przestaje mieć znaczenie. Ekstranetowe wirtualne sieci prywatne (ang. Extranet VPN) pozwalają z kolei łączyć z intranetową siecią firmy klientów, dostawców oraz partnerów. Taki sposób dostępu do zasobów firmowej sieci pozwala zmniejszyć koszty i jednocześnie zwiększyć zadowolenie klientów. Rysunek 4.9 ilustruje zastosowanie przedstawionych powyżej typów wirtualnych sieci prywatnych.
Rysunek 4.9 Zastosowanie VPN
Projektując wirtualną sieć prywatną trzeba mieć na uwadze jej przepustowość. Chcąc bezpiecznie przesyłać duże ilości danych należy zaopatrzyć się w odpowiednio wydajne urządzenia. Ofertę firmy Cisco przedstawia tabela 4.4.
Tabela 4.4 Urządzenia VPN firmy Cisco
Rutery, koncentratory i ściany ogniowe pozwalają budować bezpieczne sieci. Należy jednak pamiętać, że każde z tych urządzeń najefektywniej będzie spełniać swoją rolę w odpowiednim typie VPN. Proponowane przez Cisco zastosowania przedstawia tabela 4.5.
Tabela 4.5 Role urządzeń VPN
Rutery VPN firmy Cisco są optymalnymi urządzeniami do obsługi bezpiecznych połączeń pomiędzy ośrodkami (ang. Site-to-Site). Bogata oferta pozwala na wybór odpowiedniego modelu. Przykładowo ruter Cisco 800 o maksymalnej wydajności 384 kbps, który obsługuje do 100 tuneli VPN jednocześnie, jest przeznaczony do zastosowań domowo-biurowych, a ruter Cisco 7200 o maksymalnej wydajności 145 Mbps, który potrafi obsłużyć do 5000 tuneli VPN, sprawdzi się w dużej firmie. Planując sieć VPN pomiędzy wieloma ośrodkami należy brać pod uwagę pewne czynniki:
- jakie aplikacje będą korzystać z VPN?
- czy wymagane jest rozgłaszanie grupowe (ang. multicast) i obsługa wielu protokołów (ang. multi-protocol support)?
- czy istotna jest fragmentacja pakietów?
- ile oddziałów będzie podłączonych do ośrodka głównego?
- jakie są oczekiwania w stosunku do odporności systemu na awarie?
- w jaki sposób wymieniane będą klucze?
Za bezpieczeństwo przesyłanych danych w VPN odpowiada protokół IPSec. Dane mogą być szyfrowane przy użyciu algorytmu DES (ang. Data Encryption Standard) lub 3DES (ang. Triple DES). Kiedy nie ma ograniczeń prawnych to zalecane jest szyfrowanie algorytmem 3DES, ponieważ jest on bardziej bezpieczny. W celu zapewnienia integralności danych protokół IPSec korzysta z funkcji mieszających (MD5 lub SHA-1). Usługi uwierzytelniania, integralności i bezpieczeństwa używają kluczy kryptograficznych. Możliwa jest ręczna lub automatyczna dystrybucja kluczy. Dystrybucja ręczna jest praktyczna w małych, statycznych ośrodkach. Do zarządzania kluczami IPSec używa internetowego protokołu zarządzania kluczami (ang. Internet Key Exchange - IKE). Do uwierzytelniania wykorzystywane są wcześniej ustalone wspólne klucze (ang. pre-shared keys) lub ośrodki certyfikacji (ang. Certification Authority - CA).
Cisco dostarcza w swoim oprogramowaniu IOS (ang. Internetworking Operating System) solidną ścianę ogniową - IOS Firewall. Wraz z obsługą wykrywania ataków (ang. intrusion detection) stanowi to podstawę do budowania bezpiecznych sieci. Implementacja firewalla w urządzeniu obsługującym wirtualne sieci prywatne jest bardzo dobrym rozwiązaniem. Pozwala to w pełni wykorzystać zalety ściany ogniowej w połączeniu z VPN. Unika się dzięki temu sytuacji, w której firewall nie potrafi kontrolować zaszyfrowanego ruchu pochodzącego z wirtualnych sieci prywatnych.
Nagłówki protokołów IPSec i GRE zwiększają wielkość przesyłanych pakietów (rysunek 4.10).
Rysunek 4.10 Powiększanie pakietów IPSec/GRE
Z tego powodu wielkość zaszyfrowanego pakietu może przekroczyć wartość największej jednostki przesyłania (ang. Maximum Transmission Unit - MTU), która dla sieci Ethernet wynosi 1500 bajtów [12]. Zaszyfrowany pakiet musi być wówczas fragmentowany, co powoduje dodatkowe obciążenie podczas odszyfrowywania zawartości pakietu. Skutkuje to mniejszą wydajnością sieci VPN. Chcąc uniknąć takiej sytuacji można skorzystać z funkcji Path MTU Discovery, która to stara się zapobiec fragmentacji. Alternatywną możliwością jest funkcja Pre-fragmentation, która dzieli pakiety przed ich zaszyfrowaniem.
IPSec pozwala na bezpieczne tunelowanie danych, posiada jednak pewne ograniczenia. Nie obsługuje rozgłaszania grupowego (ang. multicast) i wielu protokołów (na przykład IPX). Dlatego wykorzystywana jest opracowana przez firmę Cisco warstwa nośna GRE (ang. Generic Route Encapsulation), która rekompensuje ograniczenia IPSec. Działanie protokołu GRE przedstawia rysunek 4.11.
Rysunek 4.11 GRE jako protokół nośny
Sprzętowe wspomaganie szyfrowanie (ang. hardware-accelerated encryption) przesyłanych danych ma duży wpływ na wydajność sieci VPN. Badania przeprowadzone przez firmę Cisco wykazały znaczący wzrost wydajności (do 80%) po zastosowaniu sprzętowego wspomagania szyfrowania [1]. Jest ono zalecane zwłaszcza w następujących sytuacjach:
- szyfrowanie danych z wykorzystaniem algorytmu 3DES,
- wymagana jest duża wydajność,
- wykorzystywane są wielo-usługowe aplikacje (ang. multi-service applications), na przykład IP Telephony.
Dla zapewnienia odporności systemu na awarie sieci Cisco proponuje stosowanie podwójnych tuneli w VPN. Protokoły trasowania wykorzystują wówczas oba tunele z tym, że pierwszy konfigurowany jest jako bardziej preferowana trasa. Konfigurację taką ilustruje rysunek 4.12.
Rysunek 4.12 Sieć VPN oparta na dwóch tunelach
W sytuacji, kiedy główne urządzenie centralne (ang. head-end VPN) nie będzie dostępne ruch kierowany będzie zapasowym tunelem. Po odzyskaniu połączenia znowu wykorzystywany będzie tunel główny. Rysunek 4.13 pokazuje przykładową architekturę wirtualnej sieci prywatnej odpornej na awarie, która obsługuje większą liczbę ośrodków.
Rysunek 4.13 Sumowanie tuneli w sieciach VPN
Głównym zadaniem koncentratorów firmy Cisco (ang. Cisco VPN 3000 Concentrators) jest pełna obsługa zdalnego dostępu. Urządzenia te pozwalają w prosty sposób wdrożyć, skonfigurować i monitorować usługę zdalnego dostępu w wirtualnych sieci prywatnych. Istotną cechą jest skalowalność tych koncentratorów. W łatwy sposób można zwiększyć wydajność urządzenia dodając dodatkowy moduł szyfrujący (ang. Scalable Encryption Processing module). Rodzina Cisco VPN 3000 Concentrator potrafi współpracować z wieloma różnymi typami klientów VPN:
- Cisco VPN Client,
- VPN 3002 Hardware Client,
- Microsoft Windows 2000 L2TP/IPSec Client,
- Microsoft PPTP dla Windows 95, Windows 98, Windows NT, Windows 2000.
Podstawowe cechy różnych modeli rodziny VPN Concentrator przedstawia Tabela 4.6.
Tabela 4.6 Rodzina Cisco VPN 3000 Concentrator [1]
Koncentratory VPN mogą być w prosty sposób konfigurowane i administrowane. VPN Concentrator Manager pozwala na zdalne zarządzanie urządzenia wykorzystując przeglądarkę WWW. Obsługiwane są zarówno standardowe połączenia HTTP jak i bezpieczne połączenia HTTPS. Alternatywną możliwość dostępu do koncentratora daje interfejs linii poleceń (ang. VPN Concentrator Command Line Interface). Możliwy jest też dostęp bezpośredni lub zdalny (Telnet, Telnet ponad SSL, SSH, SCP).
Wykorzystywane protokoły tunelujące to IPSec, L2TP (ang. Layer 2 Transport Protocol), L2TP ponad IPSec (dla kompatybilności z klientami Windows 2000 i Windows XP), PPTP (ang. Point-to-Point Tunneling Protocol) z szyfrowaniem. Tajność przesyłanych danych zapewnia szyfrowanie. Obsługiwane algorytmy szyfrujące to DES (56 bitowy), 3DES (168 bitowy), Microsoft Encryption (40 i 128 bitowe RC4), AES (128, 192 i 256 bitowy). Do sprawdzania integralności danych wykorzystywane są funkcje mieszające (MD5, SHA-1). Autoryzacja i uwierzytelnianie może odbywać się lokalne lub w oparciu o zewnętrzne serwery AAA (RADIUS, TACACS, domeny NT). Zarządzanie ruchem sieciowym odbywa się z wykorzystaniem profili użytkowników oraz filtrów.
Koncentratory VPN nawiązują bezpieczne połączenia ponad siecią TCP/IP. Może to być połączenie pomiędzy pojedynczym użytkownikiem i siecią LAN lub też połączenie pomiędzy dwoma sieciami LAN. Koncentrator wykonuje następujące operacje:
- ustanowienie tunelu VPN,
- negocjacja parametrów tunelu,
- autoryzacja i uwierzytelnienie użytkownika,
- przyporządkowanie adresu użytkownikowi,
- szyfrowanie i deszyfrowanie danych,
- zarządzanie kluczami bezpieczeństwa,
- zarządzanie przesyłaniem danych przez tunel.
Przykładowe zastosowanie koncentratora VPN skonfigurowanego równolegle ze ścianą ogniową przedstawia rysunek 4.14.
Rysunek 4.14 Obsługa zdalnego dostępu przez VPN 3000 Concentrator
Cisco VPN Client jest oprogramowaniem, które pozwala użytkownikowi nawiązać szyfrowane połączenie z serwerem VPN. Serwerem VPN może być VPN 3000 Concentrator, Cisco PIX Firewall lub urządzenia Cisco IOS, które wspierają obsługę Easy VPN Server. Firma Cisco dostarcza klientów VPN dla wielu systemów operacyjnych (Windows 95 (OSR2 lub nowszy), Windows 98, Windows ME, Windows NT 4.0, Windows 2000, Windows XP, Linux Intel v2.2/v2.4 Kernels, Solaris ULTRA Sparc 32-bit, MAC OS X). Podstawowe cechy oprogramowania Cisco VPN Client:
- protokół tunelujący IPSec,
- protokół zarządzania kluczami IKE,
- kompresja danych, która przyśpiesza transmisję danych przez modem,
- Split tunneling – możliwość jednoczesnego kierowania nie szyfrowanych pakietów do Internetu i zaszyfrowanych przez tunel IPSec,
- uwierzytelnianie użytkowników w sposób obsługiwany przez serwer VPN (wewnętrzna baza danych serwera VPN, RADIUS, domeny NT),
- współdziałanie z Microsoft Dial-Up Networking lub oprogramowaniem firm trzecich,
- uruchamianie przed logowaniem – ustanowienie połączenia VPN przed zalogowaniem się użytkownika (dotyczy Windows NT 4.0, Windows 2000 i Windows XP),
- wsparcie dla osobistych ścian ogniowych (ZoneAlarmPro 2.6, ZoneAlarm 2.6, BlackIceAgent, BlackIce Defender 2.5).
Sprzętowy klient VPN stanowi alternatywę dla klienta programowego rozszerzając jego możliwości. Powody dla których warto zastosować VPN 3002 Hardware Client [1]:
- komputery posiadają system operacyjny, na którym nie może pracować klient programowy,
- polityka bezpieczeństwa nie przewiduje obsługi połączeń do sieci VPN z komputerów osobistych,
- duża liczba klientów VPN ma być zarządzana centralnie,
- VPN 3002 jest bardzo prosty w konfiguracji.
Domyślnie VPN 3002 pracuje w trybie PAT (translacja portów i adresów sieciowych). Powoduje to, że wszystkie urządzenia z prywatnej sieci VPN 3002 są niewidoczne. Możliwa jest też praca w trybie sieciowym (ang. Network Extension Mode), która pozwala na stworzenie pojedynczej sieci ponad tunelem VPN. W tym trybie PAT nie jest stosowany i urządzenia z sieci serwera VPN mogą mieć bezpośredni dostęp do urządzeń w sieci VPN 3002.
W pewnych sytuacjach IPSec nie może być stosowany w standardowy sposób. VPN 3002 Hardware Client wspiera działanie IPSec ponad TCP, UDP i NAT-T (ang. NAT Traversal). NAT-T umożliwia nawiązywanie połączeń ponad systemami translacji adresów sieciowych.
Ściany ogniowe PIX Firewalls stanowią rozwiązanie uniwersalne w zastosowaniach VPN. Urządzenia te łączą w sobie wszystkie zalety ścian ogniowych z obsługą wirtualnych sieci prywatnych. Urządzenia PIX Firewalls zapewniają podstawową obsługę połączeń Site-to-Site VPN i obsługują większość funkcji potrzebnych do realizowania usług zdalnego dostępu w VPN. Cechy poszczególnych modeli ścian ogniowych z rodziny PIX w zastosowaniach VPN przedstawia tabela 4.7.
Tabela 4.7 Cisco PIX Firewall VPN [1]