ELEMENTE COMPONENTE ALE VPN

ELEMENTE COMPONENTE ALE VPN

Structura unei retele virtuale private este cea prezentata in figura urmatoare:

Componenta Dial-in. In conditiile actuale accesul de la distanta a devenit o necesitate, angajatii care lucreaza acasa, cat si cei aflati in deplasare (utilizatori de la distanta) doresc acces dial-in sigur si convenabil la reteaua companiei lor, iar uneori trebuie chiar sa comunice cu alte host-uri din cadrul retelei altei companii. Aceasta componenta se extinde de la calculatorul utilizatorului de la distanta la un punct de oferit de un ISP. Protocoalele folosite difera in functie de ISP; se observa o orientare din ce in ce mai puternica a acestora catre protocolul PPP (Point-to-Point Protocol).

Reteaua externa (Internet). Internet-ul a devenit un backbone folosit din ce in ce mai des pentru interconectarea intranet-urilor.

Reteaua interna (Intranet). Se afla sub controlul companiei.

Structura unei retele virtuale private include mai multe clase de sisteme de calcul host-uri la distanta (conectare de tip dial-in); host-uri locale (statii de lucru si servere);  puncte de acces ISP; firewall-uri, router-e, sau gateway-uri.

1. IMPLEMENTARE VPN

Pentru implementarea unui VPN sunt necesare: un firewall, un router, un server proxy, hardware si software VPN sau toate, oricare dintre acestea pot asigura o comunicatie sigura, dar o combinatie a lor este solutia cea mai buna.

Implementarile VPN-urilor se grupeaza in trei categorii:

intranet - reteaua virtuala privata intre sediile si departamentele aceleiasi firme

remote-acces VPN - retea virtuala privata intre reteaua firmei si angajatii aflati la distanta sau in deplasare

extranet VPN - reteaua virtuala privata intre o firma si parteneri strategici, clienti furnizori.

1.1. INTRANET

Intranet-ul este definit ca o legatura semi-permanenta peste o retea publica intre un WAN si o filiala a companiei. Aceste tipuri de conexiuni LAN-LAN se presupune ca au cel mai mic risc din punct de vedere al securitatii pentru ca firmele au incredere in filialele lor. In astfel de cazuri compania are control asupra retelei/nodurilor destinatie cat si asupra celei sursa. Administratorii de sistem trebuie sa decida daca aceasta situatie este intalnita si in propria firma.

Cazul general

In situatia in care ambele capete ale canalului de comunicatie sunt de incredere, compania poate adopta o solutie VPN care se axeaza mai degraba pe performanta decat pe securitate care este limitata la puterea metodelor de criptare si autentificare intre cele doua routere. Cantitati mari de date sunt schimbate frecvent intre LAN-uri intr-o retea privata, deci importanta este viteza de transmisie si interoperabilitatea. LAN-urile care sunt conectate prin intermediul unor baze de date centralizate sau prin alte resurse de calcul raspandite in reteaua firmei ar trebui sa fie considerate ca facand parte din aceeasi retea.

Intranet VPN tipic, unde tunele bidirectionale si criptate sunt stabilite intre LAN-uri de incredere peste Internet

Cazul de securitate maxima

Amenintarile la securitate vin adesea din interiorul firmei. Dintr-un studiu efectuat de FBI si Computer Security Institute reiese ca aproape jumatate din accesul neautorizat in reteaua firmei vine din interiorul acesteia. Daca firma este ingrijorata de posibilitatea scurgerii de informatii prin intermediul angajatilor, fie intentionat sau nu, sau daca aplica diferite niveluri de incredere in functie de departament sau chiar persoane, atunci ar trebui sa investeasca intr-o solutie VPN care ofera un control asupra traficului de informatie pe baza unui sistem de autentificare si a unei politici de securitate la nivel utilizator decat pe baza increderii acordate retelei in sine.

Intranet VPN de mare securitate unde numai anumiti utilizatori din filiale au acces la resursele firmei si fiecare are diferite drepturi. Toate datele transferate peste Internet sunt complet criptate si autentificate pana la punctul de destinatie, nu numai in cadrul retelei.

1. REMOTE ACCES

Companiile abia incep sa inteleaga avantajele pe care le ofera Internetul fata de traditionalul acces la distanta prin dial-up. Multe firme, obosite de efortul de a intretine multimea de modemuri si de costurile asociate liniilor inchiriate, descopera ca Internetul, ca mediu de comunicatie la distanta, este mult mai ieftin si mai simplu de implementat si intretinut decat solutiile obisnuite.

In oricare dintre scenariile de acces la distanta prin VPN, usurinta in utilizare este un criteriu important. Majoritatea breselor de securitate sunt atribuite erorilor de configurare, deci cu cat sistemul este mai usor de administrat, cu atat sansele de a scapa ceva din vedere sunt mai mici. Din punctul de vedere al clientului, simplitatea este critica, pentru ca multi angajati aflati in deplasari sau la distanta nu au cunostintele necesare sau accesul la resursele tehnice pentru a depista si rectifica cauzele unor eventuale disfunctionalitati. Clientii nu trebuie sa construiasca un tunel VPN manual, manual insemnand sa lanseze software-ul de VPN de fiecare data cand vor sa stabileasca un canal de comunicatie sigur. Software-ul de VPN ar trebui sa lanseze automat, la start-up, si sa ruleze in background. Pe de alta parte, o administrare usoara si centralizata este esentiala pentru ca monitorizarea unui numar mare de utilizatori, adaugarea si excluderea utilizatorilor in mod regulat poate duce la un haos si la riscuri in privinta securitatii.

Cazul General

In cazul majoritatii VPN-urilor cu acces la distanta se presupune ca firma are incredere in persoana aflata in celalalt capat al legaturii, care in mod obisnuit este un agent de vanzari aflat in deplasare sau la distanta. Decat sa isi faca probleme ca angajatii ar putea sa strice reteaua in vreun fel sau sa sustraga informatii confidentiale, compania este mai degraba interesata sa nu apara probleme neidentificate intre punctele de comunicatie. Aceste companii vor adopta o politica de acces transparenta, de genul: 'Angajatii de la distanta trebuie sa aiba acces la toate resursele la care ar avea acces daca ar fi intr-un birou la sediul firmei.'

Din aceste motive, prioritatea este criptarea datelor transmise astfel incat numai cel caruia ii sunt adresate sa le poata decripta. Majoritatea VPN-urilor indeplinesc majoritatea cerintelor de securitate, asa ca cel care evalueaza diferitele oferte trebuie sa ia in considerare alte criterii, cum ar fi: 'taria' mecanismului de criptare si autentificare pentru o securitate suplimentara.

VPN tipic cu acces la distanta, unde utilizatorul se log-eaza la Internet prin intermediul unui ISP si stabileste un tunel criptat intre calculatorul lui si reteaua companiei; identitatea utilizatorului este necunoscuta, fiind accesibila doar adresa IP a calculatorului.

Cazul de securitate maxima

Domeniile care trebuie sa excluda orice risc de securitate, cum ar fi cele financiar, sanatate, sectoare guvernamentale, sunt paradoxal cele care au adoptat cel mai repede tehnologia VPN, care este perceputa ca fiind mai putin sigura decat metodele clasice de transmisie prin retea. In realitate, tehnologiile VPN sunt mult mai sigure decat liniile inchiriate sau accesul la distanta prin dial-up, deoarece VPN-urile de mare securitate cripteaza toate datele si ofera drepturi foarte specifice de acces.

Solutiile de acces in siguranta de la distanta sunt implementate de specialisti IT care inteleg pe deplin riscurile inerente ce apar in comunicatia prin retea. Politica adoptata este: 'Angajatii de la distanta trebuie sa aiba un acces foarte bine supravegheat/controlat, la anumite resurse, in concordanta cu cerintele functiei pe care o ocupa.'

Companiile implementeaza VPN-uri pentru a le oferi un acces la distanta in deplina siguranta peste reteaua publica. VPN-urile axate pe securitate autentifica utilizatorii, nu numai adresele IP, astfel incat firma sa stie exact ce angajat incearca sa acceseze reteaua. Aceasta poate fi realizata cu ajutorul parolelor, certificatelor digitale, token card-uri, smart card-uri, sau chiar amprente sau scanarea retinei. Odata autentificat pentru accesul la serverul VPN al firmei, angajatului i se garanteaza diferite niveluri de acces in functie de profile-ul asociat, profile ce este instalat de administratorul de retea pentru a fi in concordanta cu politica de securitate a companiei. Acest sistem este esential pentru companiile ce permit accesul la informatii critice, in special in cazul in care angajatilor nu li se acorda deplina incredere.

VPN de mare securitate cu acces la distanta unde utilizatorii sunt identificati printr-o metoda de autentificare dupa care le este permis sau respins accesul la resursele cerute sau la reteaua firmei. Toate datele sunt criptate intre capetele tunelului de comunicatie.

De fiecare data cand firma vrea sa acorde diferite niveluri de acces astfel incat diferite resurse sa fie disponibile diferitilor angajati cand este nevoie sau cand vrea sa previna accesul pe 'usa din dos' in retea, ceea ce se intampla in cazul unor sisteme, recomandata este solutia unui VPN cat mai robust. Un VPN de mare securitate trebuie sa poata intercepta traficul din retea destinat unui anume calculator, sa adauge criptarea necesara, sa identifice utilizatorul si sa aplice restrictiile si filtrarea continutului datelor in consecinta.

1.3. EXTRANET

Spre deosebire de Intranet, care este relativ izolat, Extranetul este destinat comunicarii cu partenerii, clientii, furnizorii si cu angajatii la distanta. Securizarea unei retele de dimensiuni mari necesita indrumari si instrumente adecvate. Un extranet VPN trebuie sa ofere o ierarhie a securitatii si accesarea datelor confidentiale sa se faca sub cel mai strict control. Trebuie sa protejeze toate aplicatiile, inclusiv cele ce folosesc TCP si UDP, cum ar fi RealAudio, FTP, etc.; aplicatii de firma, ca SAP, BAAN, PeopleSoft, Oracle, etc.; si aplicatii dezvoltate in cadrul firmei in Java, Active X, Visual Basic, etc. Deoarece majoritatea retelelor firmelor sunt eterogene si cu numeroase sisteme mai vechi, o solutie VPN trebuie sa fie cat mai versatila si sa interopereze cu multitudinea de platforme, protocoale si metode de autentificare si criptare, si sa fie una bazata pe standardele acceptate pentru a putea colabora cu solutiile VPN ale partenerilor.

Cazul General / Cazul de mare securitate

Principalul obiectiv al unui Extranet sau al VPN-ului intre companii este sa se asigure ca datele secrete ajung intacte si exact cui ii sunt adresate fara a exista riscul de a expune resursele protejate unor eventuale amenintari, asa ca firmele ar trebui sa ia in considerare cele mai avansate solutii de VPN.

Elementele de securitate dintr-un VPN pot fi ierarhizate in diferite moduri, dar in cazul unui Extranet VPN, toate aceste componente - criptare, autentificare si controlul accesului - trebuie sa fie strans integrate intr-un perimetru de securitate. Aceasta inseamna in mod uzual situarea unui server VPN in spatele unui Firewall impenetrabil care blocheaza tot traficul neautentificat. Orice trafic care este autorizat este transmis direct serverului VPN care face filtrarea continutului in conformitate cu politica de securitate a firmei. Este esential ca legatura intre firewall si VPN sa fie sigura si fiabila, iar software-ul client sa fie cat mai transparent posibil.

Afacerile online sau comertul electronic nu se rezuma numai la tranzactii cu carti de credit; presupune de asemenea negocieri complexe si colaborari la diferite proiecte. Cand informatii vitale si confidentiale sunt implicate, administratorii IS nu pot risca compromiterea nici unei parti din retea. Un Extranet VPN trebuie sa foloseasca cea mai buna criptare posibila, care acum este pe 128 de biti. In plus, VPN-ul trebuie sa suporte diferite metode de autentificare si criptare pentru a putea comunica cu partenerii, furnizorii sau clientii, care au foarte probabil diferite platforme si infrastructuri.

Un Extranet VPN sigur, in care o companie imparte informatii cu clientii, partenerii, furnizorii si angajatii aflati la distanta prin intermediul retelei publice stabilind legaturi unidirectionale de la un capat la altul printr-un server VPN. Acest tip de sistem permite unui administrator de retea sa defineasca drepturi specifice, cum ar fi cele ce ar permite unui membru din conducerea unei firme partenere sa acceseze diferite/anumite rapoarte de vanzari de pe un server protejat. Acest tip de acces nu este posibil cu orice tip de solutie VPN.

Intr-o situatie reala de interconectare intre parteneri de afaceri, administratorii trebuie sa caute o solutie de VPN care sa filtreze accesul la resurse in functie de cat mai multe parametrii posibili, inclusiv sursa, destinatia, utilizarea aplicatiei, tipul de criptare si autentificare folosit, si identitatile individuale si de grup. Managerii de sistem trebuie sa identifice utilizatorii individual, nu numai adresele IP, fie prin parole, token card, smart card, sau orice alta metode de autentificare. Parolele sunt de obicei suficiente pentru o aplicatie obisnuita de birou, dar nu sunt la fel de sigure precum token-urile sau smart card-urile. Angajatii sunt adesea neglijenti cu parolele lor, si rareori isi schimba codurile in timp ce token-ul si smart card-urile isi schimba parolele in mod regulat, adesea chiar si la 60 de secunde.

Odata autentificat, administratorul trebuie sa poata ruta traficul autorizat la resursele protejate fara sa pericliteze securitatea retelei. Controlul accesului este cel care face diferenta intre diferitele solutii de VPN. Fara a avea un control asupra cui cere accesul la fiecare resursa din retea, VPN-ul este inutilizabil in afara perimetrului de securitate al retelei. Odata autentificat, un utilizator nu trebuie sa aiba acces total la retea. Trebuie adoptate drepturi speciale pentru fiecare utilizator astfel incat sa se obtina un control cat mai bun asupra tuturor resurselor.

Securitatea trebuie intarita, nu slabita pe masura ce utilizatorul primeste accesul la zone mai sensibile. Folosind o criptare, autentificare si metode de control al accesului cat mai bune, companiile isi pot proteja retelele de orice brese de securitate.

ECHIPAMENTUL FOLOSIT PENTRU RETELE DE CALCULATOARE

Ruterele se utilizeaza pentru retele WAN cu linii analogice, linii ISDN, linii inchiriate sau releu de cadre. Ruterele sunt importante pentru o retea de mare suprafata, fiindca utilizeaza adrese de retea si expediaza ,,pachete' de informatii pe baza locului de destinatie. Prin urmare, un router nu va trimite informatii in reteaua WAN decat atunci cand sunt destinate cuiva aflat in alta parte. Iata un atribut util, fiindca nu tot ce se afla in reteaua dumneavoastra LAN poate sa treaca prin acea conexiune WAN de capacitate mica, deci routerul limiteaza traficul doar la ceea ce este necesar.

Ruterele se conecteaza direct la reteaua dumneavoastra, iar la celalalt capat au conexiuni pentru tehnologia de comunicare pe care o utilizeaza. Daca utilizeaza tehnologie analogica sau ISDN, conexiunea este adesea incorporata. Daca se foloseste sistemul cu releu de cadre sau o linie inchiriata, se conecteaza in cealalta parte un dispozitiv DSU/CSU (vezi mai jos descrierea), ca sa faca legatura de la router la reteaua de mare suprafata. O alta varianta ar fi conectarea a doua servere care au echipamentul necesar si software de router instalat pe ele.

FRAD Un asamblor/dezasamblor de releu de cadre (Frame Relay Assembler/Disassembler - FRAD) este un dispozitiv care poate fi utilizat in locul unui router pentru conectare la un sistem cu releu de cadre, printr-un dispozitiv DSU/CSU. Dispozitivele FRAD iau datele care vin din segmentul dumneavoastra local si le formateaza pentru a putea circula prin conexiunea in sistemul cu releu de cadre. Un dispozitiv FRAD cu mai multe porturi va conecta mai multe dispozitive la un DSU/CSU.

OSSl/CSU Acest dispozitiv detine primul loc in concursul pentru cel mai lung acronim. DSU/CSU e prescurtarea de la Digital Service Unit/Channel Service Unit -Unitate de serviciu digital/unitate de serviciu de canal. Deloc surprinzator, i se spune adesea si CSU/DSU. Un dispozitiv DSU/CSU conecteaza routerul sau FRAD-ul la linia WAN, aproape la fel ca un modem, cu exceptia faptului ca este un dispozitiv de tip digital.