|
Súčasná doba nás veľmi často núti pracovať s počítačmi. Pokiaľ využívame len náš jeden počítač (v kancelárií, alebo súkromný notebook), tak v podstate nie je žiaden problém. Počítač si zabezpečíme firewallom, antivírovým softvérom a to bežnému užívateľovi postačí. Čo ak nastane prípad, že ste napr. na služobnej ceste, alebo na internáte a údaje máte na diskoch v práci, resp. doma?
 Nezriedka nastáva situácia, kedy je potrebné pristupovať k takýmto dátam v práci, škole, doma, alebo na internáte cez internet. Hoci máte so sebou Váš notebook, pracovať nemôžete, nakoľko potrebujete Len málokto sa zamyslí, že internet je verejná „pavučina“ a prenášané údaje môžu skúsenejšie osoby aj „odposlúchať“ a teda nie sú súkromné.
Ideálnym riešením problémom so zabezpečením pripojenia a prístupu k neverejným informáciám a službám je využitie tzv. virtuálnej privátnej siete – VPN (z angl. Virtual Private Network). Zjednodušením situácie je možné činnosť VPN popísať tak, že mobilný počítač ako klient (napr. služobný notebook využívaný na služobnej ceste) má možnosť pripojenia do firemnej siete takým spôsobom, že bežnému užívateľovi budú všetky dáta i služby dostupné takým spôsobom, akoby sa nachádzal priamo v kancelárii. Samozrejmosťou je aj informačné prepájanie vzdialených pracovísk prostredníctvom verejnej internetovej siete. Takáto komunikácia je zabezpečená šifrovaním a je nezávislá na spôsobe pripojenia (wifi, mobil, kábel, optika a pod.). V praxi je možné využitie úspešný open source projekt OpenVPN pre platformu Linux, ako aj pre Windows.
 AKO PRACUJE VPN?
Ide vlastne o využívanie verejnej nezabezpečenej internetovej siete, v ktorej sa prostredníctvom vytvorenia tzv. tunelov prepoja klienti so serverom. Tým sa zabezpečí autorizovaný prechod firemnými firewallmi. Po pojmom klient môžeme rozumieť buď osobu na vzdialenom mieste (mimo firmy), alebo aj celu pobočku podniku nachádzajúcu sa hoci aj na druhej strane sveta. Server VPN je zvyčajne spustený na firewallovom systéme a je podmienkou, aby VPN server bol dostupný zo strany internetu. Autorizáciu je možné vykonávať viacerými spôsobmi, spomeniem len niekoľko:
-
Generovanie unikátneho kľúča pre každého klienta a súčasné využívanie certifikátu siete.
-
Generovanie prístupového hesla a súčasné využívanie certifikátu siete.
-
Autorizácia hardvérovými kľúčmi (čipové karty), alebo otlačkami prstov a certifikátom siete.
Najbežnejšie sa prístup rieši pomocou unikatného prístupového hesla klienta a certifikátu VPN siete.
V klientskom počítači sa po nainštalovaní a konfigurácii VPN klienta využíva nové sieťové rozhranie (TUN, alebo TAP) slúžiace výhradne pre komunikáciu VPN_klient <=> VPN_Server. Celkovú komunikáciu je možné nastaviť dvomi základnými spôsobmi:
-
Komunikuje sa prostredníctvom internetu a celá komunikácia je šifrovaná a prebieha výhradne len prostredníctvom VPN siete. V tomto prípade sú kladené väčšie nároky na hardvér zabezpečujúci prevádzku VPN Servera, nakoľko informácie smerujú vždy na server a až odtiaľ „do sveta“ (web, chatovanie a pod.), alebo do vnútornej siete firmy.
-
Komunikácia je prostredníctvom internetu, avšak cez VPN sa realizuje len komunikácia s firemnými servermi pre prístup k dátam podniku. Ostatná komunikácia (web, chatovanie a pod.) nie je šifrovaná - ide o bežné nezabezpečené pripojenie.
Ako vieme, dátová komunikácia prebieha prostredníctvom packetov. Sô to vlastne balíčky dát obsahujúce aj ďalšie pomocné údaje (adresa prijímajúceho i odosielacieho zariadenia, kontrolné informácie, samotné prenášané dáta). Činnosť VPN spočíva v dvojitom packete. Takže poďme si stručne objasniť, čo sa vlastne deje:
-
Klientský počítač sa prostredníctvom fyzického sieťového zariadenia pripojí do siete, v ktorej sa aktuálne nachádza – bežné pripojenie.
-
Po nadviazaní komunikácie sa pokúsi o nadviazanie komunikácie s VPN_Serverom. Využíva sa certifikat VPN siete (VPN servera) a ďalší autorizačný nástroj (heslo, čipová karta, certifikát klienta a pod.).
-
Úspešnou autentifikáciou sa vytvorí tunel klient-server (prechádzajúci cez firewall firmy) a je možná komunikácia (zjednodušene: akoby sa klient nachádzal priamo vo firme).
-
Dáta sú šifrovane posielané z klienta na server a opačne. Po prijatí dát sa prostredníctvom certifikátov skontroluje ich pravosť. Rozbalením a dešifrovaním prijatého packetu sa získa ďalší packet určený pre komunikáciu v privátnej sieti.
-
Dátové odpovede sú realizované analogicky.
Majme príklad: Pristupujeme prostredníctvom SSH (port 22) do firemnej siete cez VPN. Klient vytvorí packet, ktorý je šifrovaný a pošle ho verejnou nezabezpečenou sieťou (internetom) na VPN server (komunikácia prebieha štandardne na porte 443). Ako prenášané dáta sú v tomto packete dáta celého ďalšieho packetu určeného pre komunikáciu vo firemnej sieti. Verejne prenášaný packet je bez dešifrovania nepoužiteľný tretími osobami. Teda podľa veľmi pekného príkladu J.Imricha si to môžeme predstaviť ako kamión (packet prenášaný verejnou sieťou medzi klientom a serverom), ktorý vezie ďalší nákladiak (privátne zašifrované dáta-packet firemnej siete).
Podobne ako každé riešenie, aj toto riešenie môže byť nevhodným zdieľaním kľúčov a certifikátov zneužiteľné pre neoprávnený prístup do privátnej siete podniku. Preto je potrebné dbať na zabezpečenú distribúciu certifikátov a kľúčov k užívateľom a dostatočné zabezpečenie VPN Servera voči zásahom neoprávnenými osobami. V prípade potreby je samozrejme možné aj obmedzenie prístupu prichádzajúceho prostredníctvom pripojenia cez VPN zvonku.
Na Technickej univerzite v Košiciach sa aj takouto formou realizuje zabezpečená komunikácia nielen na akademickej pôde (medzi študentmi ubytovaných na rôznych internátoch), ale aj pre umožnenie prístupu k zariadeniam umiestneným v sieti prislúchajúcej TUKE v súvislosti so vzdialenou správou a konfiguráciou celého systému siete. Autor príspevku je členom IT_Klubu TUKE a administrátorom VPN na Internáte BN, kde majú ubytovaní študenti možnosť využívať aj túto službu.
Zdroje:
http://en.wikipedia.org
http://www.vpnlabs.org
ww.linuxos.sk
www.openvpn.net
|
