IPRO - PC Magazine Romania, Noiembrie 2003
SOLUȚII PENTRU PROGRAMATORII ȘI DESIGNERII WEB
Rețele Virtuale Private
Dan Cândea
Ce înseamnă un VPN? Dacă cauți în presa de specialitate vei găsi definiții
diferite adaptate de producători și de furnizorii de servicii pentru a se potrivi
cât mai bine cu produsul pe care îl oferă. Dar cum rămâne cu cel care dorește
să afle definiția acronimului? Din păcate o definiție practică rămâne un lucru
evaziv, fiecare are propriul punct de vedere, va înțelege în felul său.
Scopul unui produs VPN este să realizeze rețele logice, independente de topologia
rețelei fizice. Aceasta este partea virtuală, grupuri de host-uri separate geografic
pot interacționa și pot fi administrate ca o singură rețea, extinzând dinamismul
utilizatorului în rețeaua LAN fără a-și face griji de locația fizică. O astfel
de rețea virtuală este privată dacă accesul al ea este controlat. Această definiție
integrează o mare varietate de servicii de transport, de la tradiționalele rețele
bazate pe Frame Relay și ATM și până la cele bazate pe MPLS. Unii consideră
partea privată ca fiind securizată, rețelele oferă confidențialitate, integritatea
mesajelor și autentificarea utilizatorilor și a host-urilor.
Topologia unei rețele VPN este diferită de la caz la caz, în funcție de necesități,
dar ea este construită pentru a servi una din cele trei funcții principale:
- Două rețele de tip LAN pot fi legate între ele securizat printr-o legătură
punct la punct, astfel legăturile dedicate WAN sunt înlocuite de o rețea publică
cum ar fi infrastructura unui ISP sau internetul.
- Cu costuri puține, se poate furniza acces securizat de la distanță utilizatorilor
mobili la rețeaua corporației prin intermediul infrastructurii internet.
- Cele două topologii de mai sus pot furniza partenerilor de afaceri și clienților
acces la rețelele externe și la servicii ce pot îmbunătății relațiile de afaceri.
Toate aceste aplicații VPN pot fi oferite de un furnizor de servicii comerciale,
fie el un ISP (Internet Service Provider) local, unul de nivel unu sau un furnizor
specializat în soluții de management securizat.
Tunelurile VPN trebuie să asigure trei condiții de securitate: autentificare,
pentru a se asigura identitatea celor două extremități ale tunelului, criptare,
pentru a se preveni furtul de informații transmise prin tunel și integritate,
pentru a nu se înlocui informația transmisă.
Tunelurile pot exista la nivele de protocol diferite:
- Tuneluri de nivel 2 pot realiza legături punct la punct (PPP - point to
point). Serverul unui ISP interceptează conexiunea PPP a utilizatorului unei
firme, după care va fi transmisă mai departe printr-un tunel la rețeaua firmei.
Sunt 2 protocoale populare pentru acest tip de VPN. PPTP (Point to Point Tunnel
Protocol) realizează o conexiune autentificată și criptată de pe stațiile
Windows la un server de acces. Conform standardului IETF L2TP (Layer 2 Tunneling
Protocol) creează tuneluri autentificate, dar nu asigură integritatea și confidențialitatea
conexiunii. Pentru a realiza acest lucru trebuie combinat cu IPsec.
- Tunelurile de nivel 3 realizează conexiuni IP virtuale. Pachete IP vor
fi rutate prin capetele tunelurilor, unde sunt încapsulate în headere conform
standardului IETF, pentru a se asigura integritatea și confidențialitatea
informațiilor. Aceste extensii ale protocolului IP (IPsec - IP Security) împreuna
cu IKE (Internet Key Exchange) pot fi folosite împreună cu numere și algorimi
de criptare și autentificare (de exemplu: MD5, SHA1, DES, 3DES). În legături
punct la punct la capetele tunelului se găsesc routere ce suportă IPsec. În
spatele acestor rutere se vor găsi LAN-uri interconectate, structura pe care
se realizează VPN-ul va fi transparenta pentru ele. Pentru accesul de la distanță
utilizatorii se vor conecta la un punct de acces pentru a se conecta la rețeaua
privată a firmei. Acest punct de acces este tot un router ce suportă IPsec.
Dacă este nevoie de securizarea doar a unei anumite informații, cum ar fi
serviciul de e-mail, sau cel de web se poate considera o altă alternativă. Secure
Shell (SSH) este un utilitar folosit de obicei pentru administrarea de la distanță
a serverelor. Acesta însă poate transmite și protocoale de aplicații în cadrul
unei conexiuni client-server. De exemplu poate transmite pachete din cadrul
unei conexiuni POP si SMTP la un server de mail pe care ruleaza si SSH.
O alternativă omniprezentă este SSL (Secure Sockets Layer). SSL este suportat
de orice browser, astfel protocolul http este securizat fără a fi nevoie de
instalarea unui software client. Mai mult, pentru SSL sa creat un standard IETF,
numut TLS (Transport Layer Security), care securizează si protocoalele POP,
SMTP, IMAP și TELNET. Autentificarea se face pe bază de certificate, după care
în unele cazuri se face si pe bază de utilizator și parolă.
|