Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze
Ondřej Žáček
Virtuální privátní síť pro malé a střední firmy Bakalářská práce
2011
Zadávací list
Prohlášení Prohlašuji, že jsem bakalářskou práci na téma Virtuální privátní síť zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury V Praze dne
Podpis
Poděkování Prostřednictvím této práce bych chtěl poděkovat Ing. Davidovi Klimánkovi Ph.D. za nasměrování a pomoc s tématem. Dále bych chtěl poděkovat kolegům působících ve společnosti New Telekom spol. s r.o. za ochotu odpovídat na mé dotazy ohledně kritérií pro posouzení řešení.
Abstrakt Tato bakalářská práce se zabývá problematikou virtuálních privátních sítí ve společnostech do 25 zaměstnanců, a to především ve smyslu klient-server architektury. V teoretické části definuji požadavky kladené na VPN, specifikuji použitelné technologie, a následně nastíním výběrová kritéria. Pomocí těchto kritérií posoudím vhodnost navržených řešení vícekriteriálním rozhodováním a vybranou variantu následně realizuji.
Abstract This thesis deals with issues of Virtual Private Networks in companies up to 25 employees, especially focused on client-network solutions. In the theoretical part, I define requirements imposed on VPN, I specify applicable technologies and subsequently, I sketch selection criteria. Using these criteria, I will pass judgment on the suitability of the suggested solutions by multicriterial decision making and implement the chosen variant.
Obsah Slovo úvodem ................................................................................................................................ 8 1.
2.
Analýza informací k výběru VPN .................................................................................... 10 1.1.
Definice VPN ............................................................................................................................ 10
1.2.
Proč volit VPN? ....................................................................................................................... 10
1.3.
Co lze očekávat od VPN sítě............................................................................................... 11
1.4.
Rozdělení VPN dle struktury ............................................................................................ 12
1.4.1.
Klient - Síť ........................................................................................................................ 12
1.4.2.
Klient – Server................................................................................................................ 13
1.4.3.
Síť – Síť ............................................................................................................................. 13
1.5.
Rozdělení VPN dle platformy ............................................................................................ 14
1.6.
Protokoly využívané pro VPN........................................................................................... 14
1.6.1.
Protokoly TCP-IP .......................................................................................................... 15
1.6.2.
PPTP Protokol ................................................................................................................ 16
1.6.3.
L2TP ................................................................................................................................... 17
1.6.4.
IPSec................................................................................................................................... 18
1.6.5.
SSL VPN ............................................................................................................................ 18
1.6.6.
Orientační porovnání VPN technologií ................................................................ 19
Výběr VPN řešení ............................................................................................................. 20 2.1.
Požadavky a kritéria kladené na VPN............................................................................ 20
2.1.1.
Bezpečnost ...................................................................................................................... 20
2.1.2.
Škálovatelnost ................................................................................................................ 22
2.1.3.
Interoperabilita ............................................................................................................. 22
2.1.4.
Přívětivost ....................................................................................................................... 23
2.1.5.
Cena.................................................................................................................................... 23
2.2.
Varianty a typová řešení pro VPN síť ............................................................................ 23
2.2.1.
Microsoft Windows SBS 2011 Standard .............................................................. 24
2.2.2.
MikroTik ........................................................................................................................... 26
2.2.3.
Pfsense .............................................................................................................................. 27
2.2.4.
Kerio Control .................................................................................................................. 29
2.3.
Srovnání variant dle kritérií .............................................................................................. 30
2.3.1.
Tabulka kritérií .............................................................................................................. 31
2.3.2.
Fullerův trojúhelník ..................................................................................................... 32
2.3.3.
Tabulka váhy kritérií ................................................................................................... 32
2.3.4.
Normalizovaná tabulka kritérií ............................................................................... 33
2.3.5. 2.4. 3.
Zdůvodnění výběru............................................................................................................... 34
Realizace vybraného řešení - MikroTIK .................................................................. 36 3.1.
Možností připojení k prvku ............................................................................................... 36
3.1.1.
WINBOX ............................................................................................................................ 36
3.1.2.
WEBfig .............................................................................................................................. 38
3.1.3.
SYSTÉMOVÁ KONZOLE .............................................................................................. 39
3.2.
ZÁKLADNÍ KONFIGURACE ................................................................................................ 39
3.2.1.
Konfigurace rozhraní .................................................................................................. 40
3.2.2.
Vytvoření mostu ............................................................................................................ 41
3.2.3.
Konfigurace IP adres ................................................................................................... 41
3.2.4.
Konfigurace Routování ............................................................................................... 42
3.2.5.
Konfigurace DNS ........................................................................................................... 42
3.2.6.
Konfigurace LAN sítě ................................................................................................... 43
3.2.7.
Překlad IP adres (Source NAT) ............................................................................... 43
3.2.8.
Základní zabezpečení .................................................................................................. 44
3.2.9.
Záloha nastavení ........................................................................................................... 45
3.3.
4.
Řešení ................................................................................................................................ 33
Konfigurace VPN .................................................................................................................... 46
3.3.1.
Modelová situace. ......................................................................................................... 46
3.3.2.
PPTP s interními uživateli ......................................................................................... 46
3.3.3.
PPTP s User Manager .................................................................................................. 48
3.3.4.
L2TP síť – síť tunel ....................................................................................................... 52
3.4.
Datová propustnost versus šifrování ............................................................................ 53
3.5.
Transparentnost .................................................................................................................... 54
Závěr práce ........................................................................................................................ 55
Seznam použitých zkratek a pojmů ................................................................................... 56 Seznam obrázků ........................................................................................................................ 57 Seznam použité literatury a zdrojů.................................................................................... 58
Slovo úvodem Téma práce jsem si vybral, jelikož mne před několika lety oslovili rozsáhlejší sítě a především větší privátní sítě, které jsem realizoval během své praxe. Ačkoliv jsou informace ohledně virtuálních sítí dostupné v mnoha publikacích, zjednodušený, ale ucelený soupis informací vhodných pro začínající administrátory či správce menších sítí se mi nepodařilo dohledat. Rád bych si tedy jako cíl stanovil pokusit se touto prací nabídnout jistou alternativu k rozsáhlým popisům konfigurace IPSec tunelů a poskytnout nepříliš komplikovaný dokument pro vstup do světa VPN sítí. S pojmem virtuální síť se setká nejspíše každý, kdo pracuje v ICT nebo v jakémkoliv z mnoha příbuzných odvětví, a to nejpozději v okamžiku, kdy mu bude nabídnuta možnost tzv. Home Office - tedy možnost pracovat z pohodlí domova bez zbytečných cest. Notebook dotyčného bude nastaven tak, aby (po připojení) mohl pohodlně pracovat odkudkoliv. Ostatně i autor textu v době psaní této práce neuchovává ani bajt textu na svém laptopu, ale pracuje se souborem bezpečně uloženým na diskovém poli kdesi v housingovém centru. A právě tato možnost, využívat vzdálené a mnohdy nákladné zdroje prakticky odkudkoliv, činí tyto sítě tak zajímavé. Virtuální privátní sítě jsou dnes využívány v širokém spektru odvětví od informatiky, průmyslu, obchodu až po žurnalistiku. Jsou používány především tam, kde je potřeba využívat prostředků či zdrojů, které jsou umístěny na jiném místě, než se nachází daný uživatel. Virtuální sítě tak slouží jako tunel či spojnice mezi uživatelem a jeho domovem či kanceláří, přičemž nezáleží na umístění uživatele, ale pevným a neměnným bodem je v tuto chvíli "volaná strana". Přesněji řečeno jedná se o souhrn protokolů sloužících k vytvoření šifrovaného spojení mezi např. notebookem uživatele a sítí jeho zaměstnavatele tak, aby dotyčný mohl pracovat, jako by byl fyzicky přítomen v dané lokalitě. Může tak například využívat firemní informační systém, groupware či dokumenty uložené na datovém skladu své společnosti. Toto tunelované spojení se typicky realizuje prostřednictvím veřejného internetu, a veškerá komunikace probíhající tímto spojem je proto šifrována. Lze tedy docílit stavu, kdy takto spojené počítače mezi sebou komunikují tak, jako by byly součástí jedné lokální sítě, a ačkoliv tak činí skrze nezabezpečený veřejný internet, je možné veškerou komunikaci považovat za rozumně zabezpečenou.
8
Jak už téma práce napovídá, zaměřím se především na virtuální sítě pro menší společnosti, tudíž se částečně oprostím od VPN sloužících pro propojení více geograficky oddělených poboček jedné společnosti. V první části práce se zaměřím na popis protokolů, seznámení s technologiemi, formulování požadavků na tyto a specifikaci nutného SW a HW vybavení pro danou problematiku. Dále pak čtenáře seznámím s kritérii pro hodnocení. Pro simulaci reálné společnosti použiji virtualizované Windows Small Business Server 2011 a dále zařízení od společnosti MikroTik. Jako alternativní řešení pak produkt společnosti Kerio a freeware odnož BSD – pfsense. V další části již srovnám výhody, či nevýhody řešení, které tyto technologie nabízí a setřídím je podle schopnosti vyhovět stanoveným požadavkům pomocí vícekriteriálního rozhodování. Následně zdokumentuji využití toho řešení, které splní nejvíce požadavků stanovených na počátku práce. Forma této práce lze kvalifikovat jako interpretace, neboť během realizace budu simulovat a analyzovat síťovou komunikaci v imaginární společnosti, a později posuzovat (dle stanovených kritérií - např. náročnost realizace, nabízené služby) jednotlivé varianty. Předpokládám, že nejdelší a nejtěžším úsekem bude konfigurace VPN bodů a klientských stanic. Testování bude probíhat na vlastních síťových prvcích, či na zařízeních zapůjčených společností, ve které jsem realizoval povinnou praxi. Tato společnost se zabývá především telekomunikacemi a poskytováním kompletních síťových řešení.
Mnoho termínů uváděných v této práci bohužel postrádá český předklad, případně tyto termíny přeloženy jsou, ale překlad se v praxi nepoužívá (směrovač, přepínač). Proto na stránce 56 uvádím seznam zkratek a pojmů
9
1. Analýza informací k výběru VPN V první části této práce bych rád předestřel základní informace, se kterými je vhodné se seznámit před samotným testováním, výběrem a realizací řešení.
1.1.
Definice VPN
Definice VPN dle konsorcia VPNC: Virtual Private Network (VPN) je privátní datová síť, která využívá veřejné telekomunikační infrastruktury a zajišťuje soukromí pomocí tunelovacích protokolů a bezpečnostních procedur. [INT 1] VPN je tedy možné definovat jako soukromé logické spojení vyhrazené autorizovaným osobám pro připojení ke vzdáleným zdrojům. Toto spojení je realizováno prostřednictvím veřejného internetu či WAN sítí lokálních ISP. Na obou koncích tohoto logického spoje se nachází patřičně nakonfigurovaný hardware a/nebo software, který zajištuje celý proces zapouzdření, šifrováni a tunelování.
1.2.
Proč volit VPN?
Stěžejní okamžik pro zavedení VPN do rozrůstající se společnosti nastane většinou ve chvíli, kdy dojde k havárii serveru, či jen pouhé nedostupnosti nějaké služby, a správce IT v této společnosti se nachází na dovolené, či je jiným způsobem nedostupný. Nastávají pak situace, kdy se v IT nejzběhlejší zaměstnanec v sídle společnosti snaží (patřičně instruován po telefonu) například obnovit data z RAIDového pole, restartovat služby na serveru atp. Ovšem, důvodů pro zavedení VPN do jakékoliv společnosti je mnoho a nemusí být nutně předcházeny katastrofou. Rád bych tedy nastínil alespoň základní body proč se vydat touto cestou. Univerzálnost
-
VPN není omezená pouze na jednu danou službu
Škálovatelnost
-
možnost rozšiřovat počet připojených klientů dle přání
Dostupnost
-
zaručený přístup ke všem zdrojům ve vzdálené lokalitě
Vzdálený přístup
-
zaměstnanci společnosti mohou přistupovat odkudkoliv
Zapouzdření
-
mohou být zapouzdřeny i služby jako IPX
Kontrola
-
možnost monitorování přístupů vzdálených klientů 10
Jak je patrné z těchto bodů, veškeré výhody vycházejí ze základní myšlenky umožnit ověřenému uživateli pracovat odkudkoliv prostřednictvím stávajících připojení lokálních ISP či veřejného internetu. Pro lepší představu o případném využití VPN si představme síť společnosti s centrálou v Praze a pobočkou v Brně. Tato síť má několik desítek pevných uživatelů a několik zaměstnanců, kteří pravidelně cestují po Čechách. V případě že tato společnost používá například ekonomický systém Pohoda či Money S3 nastává otázka, jak umožnit těmto cestujícím zaměstnancům přistup do systémů společnosti při zachování patřičného zabezpečení a zároveň nízkých nákladů. Pakliže zároveň vezmeme v potaz nutnost propojit síť obou poboček do jednoho segmentu, jeví se VPN jako ideální volba.
1.3.
Co lze očekávat od VPN sítě
Každý manažer, majitel společnosti či zákazník má jistá specifika, která se promítnou v očekávání do nově nasazované technologie. Pokusím se seřadit několik klíčových vlastností těchto sítí, abychom se vyhnuli případným nenaplněným očkováním a nejasnostem. Většina VPN je ideálním řešením pro vzdálený přístup, pomoc uživatelům či zvýšené zabezpečení pro přístup k firemní síti a informačním systémům. Je ovšem důležité dopředu plánovat jaké programy budeme vzdáleně obsluhovat, neboť lze obecně říci, že až na výjimky jsou VPN:
Pomalejší než LAN
Méně spolehlivé než LAN
Hůře monitorovatelné pro firewally
Z uvedených bodů tedy vyplývá, že očekávat možnost zálohování jednoho serveru skrze VPN na pobočku v jiné lokalitě by bylo velmi nerozumné. Stejně tak i případné využití ekonomického systému, který by byl spouštěn skrze VPN, je na hranici použitelnosti. Naopak vzdálená plocha na terminálový server, klient aplikace využívající SQL, či intranetová aplikace postavená na HTTP jsou ideální kandidát pro využití této technologie. 11
1.4.
Rozdělení VPN dle struktury
Sítě VPN lze rozdělit do tří typů dle logického členění: klient - síť, síť - síť, klient server. Ačkoliv se v této práci budu zaobírat převážně architekturou klient – síť, považuji za vhodné seznámit případného čtenáře se všemi možnými variantami. Je totiž velmi pravděpodobné, že základní myšlenka o připojování samostatných pracovníků se postupně rozvine na celkové více-pobočkové řešení. S ohledem na skutečnost, že zdaleka ne všechny protokoly, o kterých se zmíním, jsou ideální na propojení více sítí, je tedy vhodné již předem posoudit volbu správného protokolu pro realizaci sítě. Obecně lze říci, že pro všechny varianty VPN sítě platí následující tabulka. Tabulka 1 – Vliv časové prodlevy na použitelnost spojení Odezva na vzdálený bod
Použitelnost
<10 ms
Excelentní (VoIP hovory)
<50 ms
Výborná (RDP a ONLINE aplikace)
<100 ms
Použitelná (email, informační systém)
>100 ms
Nekomfortní využití i pro http aplikace
1.4.1.
Klient - Síť
Obrázek 1 - Klient – síť
Jak design na obrázku 1 napovídá, jedná se o časté řešení. Umožňuje využití většiny firemních prostředků, jako je interní informační systém, CRM, správa dokumentů, tisk a jiné. Všechny počítače, včetně vzdálených stanic připojených do VPN se chovají tak, jakoby byly součástí jednoho síťového segmentu. Hlavní benefit tohoto řešení spatřuji v možnosti vzdáleného přístupu ke stanicím v lokalitě, což je ideální varianta, pokud společnost nechává své ICT zdroje outsourcovat. Výhodou pro tyto společnosti je fakt, že outsourcingové organizace si často za vzdálenou pomoc přes VPN účtují jinou – řádově nižší sazbu než za výjezd technika. Bohužel, jak jsem během praktické části zjistil, ne všechna typová řešení s touto variantou klient – síť počítají. 12
1.4.2.
Klient – Server
Obrázek 2 - Klient – Server
Klient – server je asi nejvíce zastoupené řešení. Benefit spočívá ve využití bezpečnosti VPN k realizaci citlivých operací. Prostředky, použitelné pro klienta, jsou ovšem omezeny pouze na jediný server. Tato varianta je často používána v bankovním sektoru, kdy zákazník pomocí clientless SSL - VPN ovládá svůj účet přes běžný internetový prohlížeč. Bohužel využití služeb je vzhledem k omezení dnešních prohlížečů dosti omezeno. Nicméně, například společnost Microsoft Inc. nabízí velmi silné řešení na bázi SSL - VPN - Microsoft Web Access, kdy je Internet Explorer schopen zobrazit i plochu vzdáleného serveru.
1.4.3.
Síť – Síť
Obrázek 3 - Síť - Síť
Nejmohutnější a nejkomplexnější možná varianta. Jedná se v podstatě o privátní síť, která je ovšem – s ohledem na náklady- realizována po síti partnera. Toto řešení je ideální volbou všude tam, kde je potřeba spolupracovat a komunikovat v jednotném celku bez ohledu na geografickou pozici zaměstnanců. Tato varianta je tedy vhodná například pro vysoké školy s několika fakultami, ale hlavně pro společnosti s obchodním zastoupením na několika kontinentech. Dnes již je běžnou praxí, že se ICT oddělení velké korporace nachází například v Indii (Dell, Microsoft), kde je dostatek kvalifikovaných odborníků a zároveň nižší mzdové požadavky. 13
1.5.
Rozdělení VPN dle platformy
Řešení VPN lze rozdělit dle zvolené platformy. Obecně lze říci, že hardwarové řešení je výkonnější co do prostupnosti a schopnosti kryptování, neboť některé dražší zařízení jsou vybavovány čipy pro akceleraci šifrování.
Softwarové VPN Do této kategorie například spadá produkt společnosti Microsoft – serverový systém pro SMB sektor - Windows Server 20xx Small Business. Softwarové řešení lze považovat za levnější a dostupnější variantu, ačkoliv nelze říci, že by nutně bylo variantou horší. Díky nativní podpoře základních tunelovacích protokolů ve většině moderních operačních systémů ani není nutné investovat do software třetích stran.
Hardwarové VPN Hardwarové řešení je nákladnější, leč výkonnější řešení. Zákazník nákupem získá „blackbox“, který často kombinuje schopnosti routeru, firewallu a VPN koncentrátoru. Tyto síťové prvky jsou většinou vybaveny čipy se specializací na kryptování, takže datová i paketová prostupnost může být i řádově větší než u softwarové varianty. Nejčastěji se lze setkat s výrobky společnost Cisco Systems, Juniper, 3Com, či MikroTik.
1.6.
Protokoly využívané pro VPN
Protokolů určených pro VPN je velké množství, a protože práce je zaměřena obecně na menší sítě, dovolím si vynechat technologie VLAN, MPLS či OpenVPN, ačkoliv poslední ze jmenovaných je de facto jen SSL-VPN použitelnou pro Sít-Síť spoje. V této kapitole se zaměřím na protokoly, se kterými se lze běžně setkat, uvedu základní informace a pokusím se rozebrat jejich výhody a nevýhody pro nasazení. Předem bych ale případného čtenáře upozornil, že jakékoliv jiné porovnání, než pouhé srovnání faktů, je vždy velmi subjektivní a mnoho síťových expertů by jistě tvrdě prosazovalo právě OpenVPN, či SSH2 jako ideální protokol pro menší a středně velké společnosti.
14
1.6.1.
Protokoly TCP-IP
Protokoly TCP-IP samozřejmě neslouží primárně pro VPN, ale pro směrování a přenos paketů. Nicméně abychom dobře interpretovali jednotlivé VPN standardy, je vhodné si připomenout základní filozofii IP protokolu, který je používán pro přenos paketů po internetu. Pro téma této práce nám postačí vybrané body z TCP-IP:
Síťový model & síťový paket Přestože je model OSI bezesporu nejpopulárnější, není ani jediným ani prvním síťovým modelem. Ve skutečnosti je pravdou, že přibližně o jednu celou dekádu dříve, než model OSI byl vyvinut model amerického ministerstva obrany DoD – často se mu také říká model TCP/IP. [1] Pro názornost si tedy vystačíme s modelem DoD, často označovaným jako model TCP/IP, který je jednoduší a přehlednější. Diagram 1 - model DoD DATA TCP Hlav.
TCP data
IP
DATA
IP
paket
IP Hlav. Hlav. rámce *Hlav. = Hlavička
Aplikační vrstva Transportní vrstva Síťová vrstva zápatí
Spojová vrstva
Na tomto modelu je dobře patrné postupné zapouzdření dat do rámce, o kterém se ještě zmíním v části práce věnované PPTP protokolu.
Směrování IP adres Zaručuje, že naším počítačem vytvořená paket dostane do koncového počítače. Pro názornost jednoduchá routovací tabulka z autorova domácího routeru: Tabulka 2 – Příklad Routování # 0
Cílová síť 0.0.0.0/0
Brána v síti 86.49.103.1
Interface WAN
1
86.49.103.0/24
86.49.103.54
WAN
7
192.168.66.0/24
192.168.66.101 SWITCH
8
192.168.77.0/24
192.168.66.101
9
192.168.10.0/24
192.168.66.101
10 192.168.88.100/32 192.168.66.101
15
Postup pro pochopení routovacích pravidel je jednoduchý. Software na routeru prochází jednotlivá pravidla a propočítává dle cílové adresy paketu, jestli je možné zaslat paket do odpovídající sítě. Pokud nenajde příslušnou síť, zašle paket na IP adresu své výchozí brány. Tento postup je hierarchicky škálovatelný zpravidla až do hraničních routerů ISP, kde probíhá směrování již pomocí protokolu BGP. Při konfiguraci VPN se můžeme setkat s dvěma odlišnými přístupy, kdy první preferuje umístění vzdálených klientů do jiného subnetu, než ve kterém nachází lokální síť.
VPN klienti v jiném subnetu Tento pohled nabízí o úroveň lepší zabezpečení, ale je nutné přesměrovávat veškerý provoz z VPN a do VPN. Tento pohled je také jediný správný, pokud naše síť obsahuje více počítačů.
VPN klienti v stejném subnetu Tato možnost může být chápána jako nepřijatelná z bezpečnostního hlediska, či dokonce nepřijatelná s ohledem na počet počítači v síti. Je pravdou, že tato varianta zasílá broadcast požadavky i na adresy VPN klientů a v rozsáhlejších sítích tak může dojít k výraznému zpomalení. Jedinou výhodou tak zůstává jednoduší konfigurace a transparentnost sítě pro stanice s OS Windows.
1.6.2.
PPTP Protokol
PPTP byl vyvinut společnostmi Microsoft, Alcatel-Lucent a 3Com. V dnešní době je všeobecně považován za překonaný, například kvůli absencím standardů pro proces autentizace, což vede k občasné vzájemné nekompatibilitě zařízení. Nicméně díky jednoduchosti řešení, nativní podpoře v drtivém množství zařízení a nepovinné podpoře šifrování je stále velmi používaný. Vývojáři open-source implementací pro UNIX, včetně Linuxu a různých odvozenin BSD, které se šíří zdarma, implementovali PPTP jako podporu při vytváření levných zašifrovaných tunelů s klientskými počítači, jež používají systém Windows. Jsou k dispozici implementace pro klienty i servery, které jsou schopny fungovat i s implementací PPTP od Microsoftu. Takže i když budoucností VPN zůstává i nadále IPSec, je protokol PPTP při zajišťovaní interoperability mezi VPN 16
pragmatickým řešením „pro teď“.[2] Funkce PPTP je vcelku jednoduchá. Jedná se o kombinaci Point to Point Protokolů a GRE relace.
PPP protokol protokol linkové vrstvy, používaný pro přímé spojení mezi dvěma síťovými uzly. Umožňuje autentizaci, šifrování a kompresi přenášených dat.[ INT 2]
GRE relace Protokol používaný univerzálně napříč IP sítěmi například právě pro PPTP, či tunelování IPv6 paketů skrze IPv4 sítě.
Způsob, jakým tento protokol funguje, je vcelku jednoduchý: PPTP zapouzdří PPP rámec, který může být IP, IPX nebo NetBEUI paketem uvnitř Generic Routing Encapsulation (GRE) hlavičky. Pro poskytnutí zdrojové a cílové IP adresy je vložena i IP hlavička. Zdrojová adresa je VPN klienta a cílová je VPN serveru. Pro případně šifrovaní je používán algoritmus RC4 s délkou klíče 40-128 bit.
1.6.3.
L2TP
L2TP je pokračovatelem protokolu L2F společnosti Cisco Systems a využívá některých vlastností PPTP. Ačkoli je tento protokol ideální pro přenos libovolných dat na síťové vrstvě (IPX, NetBEUI), tak v základu není schopen šifrovat přenášená data, a proto se samotného protokolu L2TP v podstatě nevyužívá. Využívanější variantou této technologie je kombinace L2TP a IPSec, kdy první protokol slouží k sestavení tunelu a šifrování je dosaženo pomocí IPSec. Výsledná technologie je označována jako L2TP/IPsec. Microsoft považuje L2TP za ideální mechanismus pro autentizaci uživatelů, pokud se požaduje silné zabezpečení uživatelů se vzdáleným přístupem. Protože protokol L2TP poskytuje bezpečnou autentizaci uživatelů a pak pro autentizaci zařízení používá IPSec, mohou se vzdálení uživatelé připojovat bez mezery v autentizaci.[2] Zajímavá implementace pro L2TP je zvolena v systému RouterOS společnosti
MikroTIK.
RouterOS,
ačkoliv
plně
podporuje
IPSec,
umožnuje
i konfiguraci L2TP tak, že je použito kryptování pomocí MPPE, které se jinak používá v implementaci PPTP společnosti Microsoft.
17
1.6.4.
IPSec
Protokol IPSec je často označován jako jediná alternativa, pokud bychom chtěli uvažovat o „bezpečné„ VPN.“ IPSec je možné použít pro šifrování dat, přenášených skrze tunel vytvořený na jiném protokolu, například L2TP. Můžeme jej také použít k vybudování tunelu, pokud tento protokol pracuje v tunelovém režimu. V tunelovém režimu může být IPSec použit pro zapouzdření IP paketů a může být nakonfigurován na ochranu dat mezi dvěma IP adresami nebo mezi dvěma IP podsítěmi. “.[1] Nastavení tohoto protokolu není úplně nejsnadnější vzhledem k nutnosti přiřazovat certifikáty či předsdílené klíče. Jako rozumný popis funkce nabízím tuto citaci: IPsec nejprve zařídí to, že se obě strany navzájem identifikují (autentizují) a následně šifruje veškerou komunikaci pomocí domluveného algoritmu. … V rámci IPsecu můžeme používat velké množství standardních protokolů a algoritmů. IPsec neurčuje, jaké algoritmy se musí použít pro komunikaci, ale definuje mechanismy vyjednávání a základní množinu algoritmů.[ INT 3 ] IPSec lze používat v následujících dvou režimech:
Transportní mód – původní IP hlavička je zachována a upravuje se (šifruje) pouze datová část paketu. Výhodou transportního módu jsou nižší nároky na přenosové pásmo. Tím, že jsou k dispozici informace o cílovém zařízení, lze rovněž během přenosu paketu sítí aplikovat některé nadstandardní mechanismy (např. kvalita služeb – QoS). Transportní mód se nejčastěji používá při autentizaci vzdálených klientů VPN.
Tunelovací mód – původní data spolu s IP hlavičkou jsou zabalena a chráněna v nově vytvořeném IP paketu. Nový paket obsahuje IP adresu odesílatele a příjemce z transportní IP sítě. Tunelovací mód může spolupracovat s oběma protokoly (ESP i AH). V současnosti se tento mód používá častěji.[ INT 1]
1.6.5.
SSL VPN
Jak jsem uvedl dříve, se SSL VPN se lze setkat například u bankovních aplikací či formou apletů pro (nejčastěji) pro internetové prohlížeče. Díky tomuto apletu jsme schopni provádět i některé nestandardní činnosti – jako například vzdálenou plochu právě prostřednictvím internetové prohlížeče. SSL běží pod aplikační vrstvou (jedná se de facto o mezivrstvu), která je konfigurována mateřskou aplikací. Tato mezivrstva poskytuje zabezpečení komunikace, šifrování a autentizaci komunikujících stran. 18
Jedinou variantou, kterou lze označit jako Síť-Síť, využívající technologii SSL (přesněji OPENSSL) je protokol Open VPN. Tento protokol, co do bezpečnosti často srovnávaný s IPSec, je díky podpoře a otevřenosti kódu často nasazován do sítí postavených na UNIX či LINUX platformě.
1.6.6.
Orientační porovnání VPN technologií
Vzhledem k vzájemné blízkosti PPTP a LT2P se přímo nabízí možnost jejich srovnání. Výhody L2TP/IPSEC oproti PPTP
Podpora více tunelů mezi koncovými body
Schopnost autentizovat tunel
Podpora ATM či Frame Relay sítí
Nevýhoda
Náročnější konfigurace
IPSec se od výše uvedených liší hlavně vyšší bezpečností díky využití certifikátů, komplexností a náročností na konfiguraci. Naopak čisté SSL-VPN se liší omezenou využitelností a absencí podpory více sítí. V následující tabulce se pokusím přehledně srovnat uvedené protokoly. Pro zachování objektivity ovšem dodávám, že implementace některých forem IPSec nemusí být zdaleka tak obtížná. Například v době kdy vznikala tato práce, se objevili na trhu velmi zajímavé prvky od společnosti Cisco Systems spadající do cenové relace do 5000 Kč.
Překvapilo mne, že konfigurace IPSec tunelu i následné připojení
prostřednictvím dodaného klienta je vcelku jednoduché a intuitivní. Tyto prvky podporují až 5 současných spojení a mohly by být také velmi zajímavou variantou.
Tabulka 3 – srovnání technologií Technologie DoD Vrstva Síť-síť
Klient-síť
Obtížnost konfi.
PTPP
2
dle routeru
ANO
1
L2TP
2
ANO
ANO
2
IPSec
3
ANO
ANO
5
SSL
4
dle implementace ANO
3
ANO
4
L2TP/IPSEC 2
ANO
19
2. Výběr VPN řešení 2.1.
Požadavky a kritéria kladené na VPN
Požadavky kladené na VPN jsou už od počátku velmi protikladné. (Typickým příkladem budiž cena vs. datová propustnost). Základním elementem, kvůli kterému vlastně k realizaci tohoto síťového řešení dochází, je ale zcela jistě bezpečnost. Dalším důležitým aspektem je uživatelská přívětivost, neboť uživatel znechucený složitostí našeho řešení dokáže vyvinout neuvěřitelnou invenci pro nalezení „vlastního řešení“ pro přístup do naší sítě. Na následujících stranách detailněji rozeberu základní požadavky, které jsou vhodné ke zvážení před realizací VPN. V další části této práce se později pokusím dle těchto kritérií posoudit vhodnost typových řešení realizace VPN.
2.1.1.
Bezpečnost
Velmi známý bonmot tvrdí, že systém je jen tak bezpečný, jak je bezpečný jeho nejslabší prvek. Troufám si tvrdit, že nejslabším článkem (nejen) v počítačových sítích je, a vždy bude, lidský faktor. Můžeme nastavit výborně zabezpečený Cisco prvek, ale pokud bude uživatel nosit svůj soukromý certifikát společně s instalátorem Cisco VPN klienta a souborem „heslo.txt“ na svém flashdisku, jsme předem ztraceni. Proto je vhodné už při samotných úvahách nad zabezpečením VPN brát v potaz i případnou pohodlnost zvoleného řešení pro koncové uživatele. Ostatně bude to právě koncový uživatel, který bude nakonec oním pomyslným nejslabším článkem řetězu. Jak jsem během své dosavadní praxe zjistil, jsou to právě pojmy bezpečnost a uživatelská přívětivost, které jsou nejčastěji v opozici. Protože budeme s pojmem bezpečnost na následujících stránkách často pracovat, pokusil jsem se dohledat co možná nejvýstižnější definici. Dle mezinárodní normy ISO je bezpečnost definována, tako:
20
„Bezpečnost je zajištěnost proti nebezpečí a souhrn administrativních, logických, fyzických a technických opatření k detekci a opravě nesprávného použití daného systému“[INT. 1] Systémem je v tomto případě nejen celkové řešení VPN, ale i postupy společnosti pro přiřazení patřičných oprávnění. Obecně lze říci, že neexistuje absolutně bezpečná síť, neboť jediná opravdu bezpečná síť je taková, do které nemá přístup vůbec nikdo. Bohužel, taková síť ale popírá podstatu pojmu „síť“. Abychom mohli hodnotit parametry bezpečnosti alespoň částečně objektivně, musíme definovat jisté požadavky. Mezi základní lze řadit následující:
Autentizace Autentizace je proces, kdy prověřujeme, zda objekt či uživatel je opravdu ten, za koho se vydává. V této části procesu dochází k ověřování hesla vůči jeho hashové podobě, či ověřování validnosti certifikátů. Pokud je celý proces úspěšný, dojde k autorizaci objektu. Typickým protokolem pro autentizaci je MS-CHAP.
Autorizace Na základě úspěšné autorizace jsou objektu přiřazená patřičná oprávnění pro přístup a správu vzdálených zdrojů. Jak proces autorizace, tak autentizace lze provádět jak oproti lokální databázi uživatelů, tak oproti serveru RADIUS či prostřednictvím IAS služby.
Integrita Jedním ze základních požadavků je zachování celistvosti paketů procházejícím tunelem a také zajištění potvrzení o doručení těchto paketů. K zajištění této integrity jsou používány běžné rekurzivní kontroly, CRC, či hashovaní funkce.
Transparentnost Pojem transparentnost v tomto ohledu definujme jako možnost monitorovat a v reálném čase analyzovat činnost uživatelů. Neméně důležitá je možnost veškerá data a aktivity uživatelů uchovávat pro případnou pozdější analýzu bezpečnostní události.
Kryptování Kryptografie neboli šifrování je nauka o metodách utajování smyslu zpráv převodem do podoby, která je čitelná jen se speciální znalostí. [INT 4]
21
Jedná se tedy o klíčový požadavek na VPN. Od těchto sítí očekáváme, že i když jsou realizovány skrz veřejný internet, zaručí nám velmi rozumné zabezpečení přenášených dat. Některé protokoly, jako jsou PPTP či IPSec, poskytují šifrování přenášených dat již nativně, ostatní jako například L2TP tuto možnost v základu nenabízejí. Běžné metody kryptování jsou například MPPE (používané pro PPTP), DES či AES. Některé algoritmy, jako MPPE společnosti Microsoft, bývají často označovány jako slabé, či nedůvěryhodné. Domnívám se ovšem, že než slabé šifrování je častějším původcem bezpečnostního incidentu slabé uživatelské heslo, které lze jednoduše napadnout slovníkovým útokem. Před volbou šifrovací metody a slepou vírou v její sílu a bezpečnost se hodí podotknout, že většina těchto algoritmů pochází se Spojených států, a tyto se vcelku odmítavě staví k vývozu tzv. Silných šifer, nebo lépe řečeno k vývozu šifer, které nejsou vládní organizace USA schopny v krátké době dekryptovat. Princip šifrování lze zjednodušeně shrnout do jednoduchého diagramu. Diagram 2 – princip šifrování DATA
2.1.2.
+
KLÍČ
+
ALGORITMUS
=
ZAŠIFROVÁNO
Škálovatelnost
Požadavek na škálovatelnost již nespadá do kategorie bezpečnostních požadavků, ale rozhodně není nijak nedůležitý. Jedná se v podstatě o možnost pohodlným způsobem rozšířit počet uživatelů, kteří jsou oprávněni vzdáleně přistupovat do sítě, pokud to společnost vyžaduje. Ačkoliv se může zdát, že je tento požadavek zanedbatelný, některé prvky určené pro SMB trh jsou limitovány například 5 současnými tunely a v případě potřeby dalšího tunelu budeme muset přehodnotit celé dosavadní řešení VPN sítě.
2.1.3.
Interoperabilita
Tento požadavek lze uchopit ze dvou rozdílných pohledů. První z možných je čistě administrativní. Převážně ve větších organizacích, či ve firmách s velkou fluktuací zaměstnanců může nastat problém s udržením aktuální tabulky 22
oprávněných uživatelů. Ideálním řešením je tedy možnost propojit VPN box s Active Directory či podobnou službou. Oprávnění pak lze řídit centrálně jako dial-in právo či skrze Group Policy. Druhým možným pohledem na interoperabilitu je pouhý výčet zařízení, která budou schopna připojení do VPN. Například drtivá většina dnešních tzv. „chytrých“ mobilních telefonů je schopna pracovat se základními protokoly pro VPN a stát se tak pohodlným a velmi mobilním terminálem. Obecně lze tedy říci, že interoperabilitu v tomto pohledu chápu jako schopnost realizovaného řešení spolupracovat se stávajícími systémy a procesy ve společnosti.
2.1.4.
Přívětivost
Jak napovídá název, jedná se o přívětivost řešení jak pro uživatele, tak pro administrátora. Uživatelsky přívětivé řešení mimo jiné znamená, že uživatelé nebudou sváděni k různým bezpečnostním nepodloženostem. Zjednodušeně řečeno, poklepání na ikonku zástupce s následným doplněním hesla je daleko uživatelsky komfortnější – byť méně bezpečné – než autorizace přes mobilní telefon, či ověřovací kalkulačku.
2.1.5.
Cena
Po bezpečnosti zcela jistě nejčastěji posuzované hledisko. Pro některé společnosti může být cena i klíčová. Při rozhodování mezi variantami berme v potaz i TCO1 a nejen cenu pořizovací.
2.2.
Varianty a typová řešení pro VPN síť
Pro testování jednotlivých variant jsem využil Virtualizační nástroj Micosoft Hyper-V a Mikotik RB450. Jednotlivá zařízení se nacházela v síti 109.233.73/28. Testování probíhalo zhruba v rozsahu 30 dní. S většinou řešení jsem již měl zkušenosti díky zaměstnání či praxi. Novinkou pro mne například byla konfigurace IPSec tunelu, se kterou jsem se poprvé setkal až při přípravě podkladů pro tuto práci. 1
TCO – total cost of ownership – celkové náklady včetně prodloužení licencí, updatů atp.
23
2.2.1.
Microsoft Windows SBS 2011 Standard
Serverová edice Small Business Server společnosti Microsoft je vcelku oblíbené serverové řešení pro menší a středně velké společnosti do cca 75 zaměstnanců. Tento operační systém vždy vychází z aktuální edice systému Windows Server, a to již od verze 2000. Licenční politika Microsoftu striktně rozděluje využití jednotlivých systémů, jak dle určení, tak dle velikosti subjektu. Operační systém se velmi obecně příjemně konfiguruje, ovšem některá řešení je náročnější systému vnutit. Například pokud použijeme jiný DHCP server či máme v síti jiný router a trváme na jeho využití. Windows Server akceptuje příchozí VPN spojení a to (ve výchozím nastavení) pomocí PPTP, ale lze jej nastavit i k použití IPSec. Jako velmi zajímavé řešení pro vzdálený přístup k datům společnosti se jeví integrovaná SSL VPN Windows Web Access. Tato VPN kromě služeb podobných Cloud řešení nabízí i přístup vzdálené plochy včetně spouštění programů třetích stran. Windows SBS jsou kombinací následujícího:
serverový operační systém
kolaborativní portál Sharepoint
poštovní a Groupeware server Exchange
firemní firewall
U tohoto řešení je poněkud obtížnější stanovit cenu za VPN část. Celková cena produktu se v současné chvíli pohybuje kolem 16 000 Kč, tudíž je tato varianta vhodná spíše pro společnosti, které oslovuje možnost „vše-v-jednom“. Popřípadě pro společnosti, které se bez realizace serveru neobejdou, například z důvodů zavádění informačního systému. Případné rozšíření licencí pro více jako 5 uživatelů lze zakoupit v blocích po 5 za cenu pohybující se okolo 10 000 Kč. Licence jsou kalkulovány podle současných připojených zařízení, či uživatelů.
24
Tabulka 4 – MS Windows Výhody
Nevýhody
Moderní stabilní operační systém
All-in-one řešení
Dodáván převážně na kvalitním hardware Oblíbený operační systém - častý cíl útoků Velmi přehledná konfigurace
Hardwarová nenáročnost
Interoperabilita
Jiné než výchozí řešení je náročné na konf.
Technická podpora
Cena
Uživatelská přívětivost Nativní podpora VPN u klientských stanic
Funkce pro VPN řešení: PPTP, L2TP, IAS, ADirectory, LDAP, IPSec
Obrázek 4 - Grafické rozhaní sítě - Windows SBS
25
2.2.2.
MikroTik
Litevská společnost MikroTik vyvíjí od roku 1995 operační systém RouterOS. Ačkoliv je RouterOS určený původně pro běžnou x86 platformu v dnešní době nejčastěji prodávaným řešením embedded systém s produktovým názvem RouterBOARD. Tyto jednoúčelové základní desky postavené na platformě x86 či MIPS jsou velmi oblíbené řešení mezi českými WiFi poskytovateli. RouterOS ovšem není tak limitován jako podobné free projekty (pfsense, m0n0wall) a nabízí funkce (MPLS, BGP, QoS) použitelné i pro velké operátory. Velkou výhodou MikroTiků je možnost konfigurace jak pomocí CLI, tak přes aplikaci WinBOX a nově i skrze velmi povedené webové rozhraní. Mezi velké přednosti RouterOS patří velmi rozsáhlá škálovatelnost a možnost implementace vlastních skriptů. Zařízení navíc podporuje velké množství VPN protokolů, takže je možné realizovat VPN pomocí PPTP a později se kupříkladu rozhodnout pro jiný protokol. Častým důvodem pro toto řešení je také jeho univerzálnost a proprietární doplňky. Podpora více tunelů současně (na různých protokolech) umožňuje realizovat VPN spojení s pobočkou přes IPSec a běžné vzdálené klienty realizovat na PPTP. Nezanedbatelnou výhodou je také podpora RADIUS a LDAP služeb, tudíž je možné autorizovat uživatele oproti Windows Active Directory či podobným službám. Důvodem pro velké rozšíření produktů MikroTIK v České Republice je rozhodně poměr cena a výkon těchto zařízení. Na produktovém portfoliu této společnosti lze vystavět sítě od domácího sdílení internetu po celofiremní VPN s velmi vysokou propustností. Cenová politika a produkty MikroTIKu se odvíjejí od požadovaného řešení. Typickou variantu firemního routeru, firewallu, WiFi Access Pointu a VPN směrovače lze realizovat do 4–5000 Kč. Licence pro jednotlivé uživatele není nutné dokupovat, neboť licenční politika je postavena na dostupných funkcích a nikoliv na počtu uživatelů. Pro firemní nasazení lze doporučit produktovou řadu RB 400. Tabulka 5 - MikroTIK Výhody Výborná interoperabilita Excelentní škálovatelnost Dostupnost informací na wiki.mikrotik.com Uživatelská přívětivost Nativní podpora VPN u klientských stanic
Nevýhody Kolísající hardwarová kvalita RouterBOARDů Nekvalitní OEM zdroje Některé funkce jsou ve stadiu betaverze Náročnější import konfigurace
Funkce pro VPN řešení: PPTP, L2TP, IAS,RADIUS,MPLS, IPSec, OpenVPN 26
Obrázek 5 - GUI RouterOS
2.2.3.
Pfsense
Pfsense je v informatice projekt, jehož cílem je vytvořit na základě FreeBSD kompletní firewall, který by na standardním nebo jednodeskovém PC poskytl všechny důležité vlastnosti komerčních firewallů, měl jednoduché ovládání, a byl za přijatelnou cenu (svobodný software). Pfsense vychází z projektu M0n0wall a významně rozšiřuje jeho možnosti.[INT 6] Pfsense je jeden ze skupiny free nástrojů jako je M0n0wall, či FreeNAS, kde lze pomocí speciální distribuce „recyklovat“ již vyřazenou pracovní stanici a v podstatě s nulovými náklady postavit ideální síťové řešení, resp. datové úložiště. Pfsense se velmi pěkně konfiguruje a přes webové rozhraní lze následně nastavit většinu využitelných funkcí pro malou až střední síť. Nevýhodou je jistá neflexibilita - pokud bychom chtěli využít jiných služeb, než jsou nabízeny v základu, neobejdeme se bez širších znalostí Unix-like OS, konkrétně FreeBSD. Naopak ceněnou výhodou je v podstatě nulová cena za tento software a nulové náklady na údržbu. Velmi oceňuji možnost ukládat konfigurační soubory na přenosná média a v případě HW výpadku routeru migrovat celé řešení na záložní stroj.
27
Tabulka 6 - Pfsense Výhody
Nevýhody
Náklady na pořízení
Omezená podpora hardware
Přehledná konfigurace
Omezené možnosti GUI
Export konfigurace
Řešení často postavené na nekvalitním HW
Funkce pro VPN řešení: PPTP, RADIUS, IPSec, OpenVPN
Obrázek 6 - Pfense - pravidla firewallu
28
2.2.4.
Kerio Control
Produkt České společností Kerio je vyvíjený od roku 2001 původně pod názvem Kerio Winroute Firewall. Tento software již od počátku nabízel velmi zajímavé řešení firemního firewallu a jednoduchého poštovního serveru. Ačkoliv byl tento nezvyklý mix vcelku úspěšný, později byl Winroute vyvíjen jen jako bezpečnostní řešení. Poslední verze dostupná k testování je nabízena buďto formou aplikace pro počítač na platformě x86 či jako HW box. Řešení je velmi nenáročné na administrační znalosti a povědomí o sítích vůbec. Většina případných požadavků lez vyřešit pomocí přednastavených pravidel, a to včetně DMZ zón atp. Bohužel velikou nevýhodu Kerio Control spatřuji v omezené podpoře internetových prohlížečů, a to jak na konfiguraci samotnou tak na využití SSLVPN. Za celou dobu testování se mi nezdařilo připojit se pomocí tohoto protokolu, ačkoliv jsem se připojoval podporovanou verzí prohlížeče. Naopak proprietární Kerio VPN Client je dostupný pro většinu moderních operačních systémů, což částečně kompenzuje absenci PPTP či IPSec a navíc tento klient šifruje jak řídící tak datový kanál. Kerio Control lze doporučit jako řešení pro společnost, která má nasazenu firemní bezpečnostní politiku či má zájem ji aplikovat, neboť tento software nabízí i velmi zajímavé služby jako je filtrování a analýza webových přístupů či antivirus. Velmi příjemnou vlastností je licenční politika, kdy na jednoho uživatele může být vázáno až 5 IP adres. Cenová politika se odvíjí od počtu zakoupených licencí. Základní balíček včetně 5 uživatelů lze zakoupit zhruba za 6000 Kč a softwarovou podporu, včetně update programu a antivirového modulu, lze pořídit za 1500 Kč. Uživatele lze dokupovat v blocích po 5 uživatelích v ceně 576 Kč za každého. Tabulka 7 – Kerio Control Výhody Komplexní řešení firemní sítě Přehledné a intuitivní GUI Využitelné grafické výstupy Export konfigurace Transparentnost Výborné filtrování procházeného webu
Nevýhody Proprietární VPN klient Cenová politika
Funkce pro VPN řešení: LDAP, vlastní řešení
29
Obrázek 7 - Kerio Control - uvodní stránka
2.3.
Srovnání variant dle kritérií
V této části práce se zaměřím na srovnání variant z předchozí kapitoly. Vzhledem ke skutečnosti, že se přes 8 let zabývám servery na platformě Windows, konzultoval jsem svá kritéria a zkušenosti s kolegy ze společnosti, kde pracuji. Jejich úkolem bylo vybrat vždy preferovaný protokol, případně vyplnit Fullerův trojúhelník. Tímto postupem jsem se pokusil zajistit jistou objektivitu při rozhodování. Předpokládám ovšem, že některé varianty jsou například pro čtenáře s rozsáhlejšími zkušenostmi s OS Linux předem v nevýhodě a naopak. Pro zjednodušení případné vlastní volby nabízím – na následující straně - jednoduchý orientační diagram s ohledem na hlavní kritérium Pro korektnost je ovšem nutné dodat, že tento diagram je jen jednoduchou pomůckou pro výběr vlastní realizace a výrazně zjednodušuje některé skutečnosti. Například PPTP lze s úspěchem použít pro Síť-Síť a naopak IPSec lze použít i pro připojení notebooku (klienta) do vzdálené sítě a konfigurace nemusí být až tak náročná. Ostatně již zmíněný Cisco Easy VPN klient pracuje právě pomocí IPSec tunelu.
30
Obrázek 8 - Rozhodovací diagram technologií
2.3.1.
Tabulka kritérií
Tabulku kritérii jsem vyplnil dle svých poznatků během testování jednotlivých produktů. Nejvyšší možnou dosažitelnou hodnotou bylo vždy 5 bodů. Tabulka 8 - označení kritérií
Hledisko
bezpečnost cena přívětivost interoperabilita transparent škálovatelnost
Produkt MS Windows SBS 2011 Mikrotik 4 5 2 4 5 4 4 5 3 4 3
5
Kerio Control 4 3 5 4 4
pfense 3 5 4 2 4
4
4
Dosažení plného počtu bodů se odvíjelo od naplnění podmínek: Bezpečnost
podpora všech protokoly včetně IPSec v režimu síť-síť
Cena
stanovena do 7 000 Kč či níže 31
Interoperabilita
podpora protokolů a autorizačních standardů (LDAP,RADIUS)
Transparentnost
možnost analyzovat datový tok a činnost klientů
Škálovatelnost
zohlednění varianty na změnu technologie, či rozšíření
2.3.2.
Fullerův trojúhelník
Metodu Fullerova trojúhelníku jsem si připomněl až později, během posuzování jednotlivých variant a hledaní klíče pro co nejobjektivnější možnost posouzení. Ačkoliv není tato metoda pro náš účel úplně vhodná, pokusil jsem se s ní během rozhodování operovat. Principem této metody je postupné srovnávání hledisek a volby důležitější varianty. Možnost stejné důležitosti hledisek jsem úmyslně vynechal. bezpečnost bezpečnost bezpečnost bezpečnost bezpečnost cena přívětivost interoperabilita transparentnost škálovatelnost cena cena cena cena přívětivost interoperabilita transparentnost škálovatelnost přívětivost přívětivost přívětivost interoperabilita transparentnost škálovatelnost interoperabilita interoperabilita transparentnost škálovatelnost transparentnost škálovatelnost
2.3.3.
Tabulka váhy kritérií
Výsledným výstupem z Fullerova trojúhelníku je níže uvedená tabulka přisuzující váhu jednotlivým hlediskům dle počtu jejich výskytu. Tyto hodnoty jsou následně použity v normalizační tabulce. Některé hodnoty nás mohou překvapit. Například škálovatelnost řešení by se leckdy mohla zdát jako velmi důležitá. Ovšem, hledáme-li řešení pro jednotlivé uživatele, nepředpokládáme, že se počet vzdálených uživatelů bude v nejbližší době od realizace VPN nějak dramaticky měnit. Obecně lze říci, že vždy měla přednost bezpečnost, ať už formou zabezpečení, či ve formě transparentnosti – dohledu nad uživateli.
32
Tabulka 9 - váha kritérií Váha 0,27 0,07 0,2 0,13 0,27 0,07 1
hlediska bezpečnost cena přívětivost interoperabilita transparent škálovatelnost SUMA
2.3.4.
Počet 4 1 3 2 4 1 15
Normalizovaná tabulka kritérií
Pomocí transformačního vzorce [5] jsem vytvořil normalizovanou kriteriální tabulku. Tato tabulka zobrazuje jednotlivé varianty na stupnici od 0 do 1 dle vhodnosti z pohledu daného hlediska. Bez ohledu na původní hodnoty je přisuzována nejlépe vyhovující variantě hodnota 1, a naopak té nejméně vyhovující hodnota 0. Tabulka 10 - váha kritérií produkt hledisko bezpečnost cena přívětivost interoperabilita transparent škálovatelnost
2.3.5.
MS Windows SBS 2K11
Mikrotik Kerio Control pfense 0,5 0,0 1,0 0,7 0,0 0,0
1,0 0,7 0,0 1,0 0,5 1,0
0,5 0,3 1,0 0,7 0,5 0,5
0,0 1,0 0,0 0,0 0,5 0,5
Řešení
Tabulka 11 prezentuje užitnost dané varianty dle zadaných kritérií a zohledňuje jejich váhu pro tento proces. Tabulka 11 – Výsledné posouzení produkt hledisko bezpečnost cena přívětivost interoperabilita transparent škálovatelnost Výsledek variant
MS Windows SBS 2K11 0,133 0,000 0,200 0,089 0,000 0,000 0,422
Mikrotik Kerio Control pfense 0,267 0,044 0,000 0,133 0,133 0,067 0,644
0,133 0,022 0,200 0,089 0,133 0,033 0,611
0,000 0,067 0,000 0,000 0,133 0,033 0,233
33
2.4.
Zdůvodnění výběru
Výsledek rozhodování mne příliš nepřekvapil. Pokud bych měl volit jen na základě svých zkušeností a poznatků získaných během testování, rozhodoval bych se mezi variantou MikroTIK a Kerio Control. Tyto varianty při zachování přijatelných nákladů nabízejí řešení, které lze v případě komplikací rychle migrovat na jiný hardware. A zároveň jsou vcelku přehledné. Ačkoliv se pfsense z počátku jevil jako horký kandidát, testování ukázalo, že se jedná stále o freeware řešení s určitým, nepříliš rozsáhlým, portfoliem služeb, které lze sice rozšiřovat či propojovat s jiným řešením, ovšem časová investice vložená do nastudování patřičných syntaxí se mi nejevila jako rentabilní. Možnosti MikroTIK jsou daleko rozsáhlejší a informační základna různých typových řešení a postupů je daleko komplexnější. Pokud jsem měl možnost srovnat VPN řešení na Windows Server a MikroTIK, oslovuje mne u Windows Server možnost spravovat uživatele přímo z hlavního serveru. Paradoxně, má představa o lepší transparentnosti Windows Server se ukázala jako mylná. Je sice možné monitorovat otevřené soubory a přístupy na informační systém, nicméně chybí komplexní nástroj pro posouzení ostatních aktivit skrze VPN. (viz kapitola 3.5) Velkou výhodu vybraného řešení spatřuji v cenové politice. Pakliže si většina malých společností vystačí s aDSL linkou a ZyXELem2 je MikroTIK RB 750 opravdu ideální volbou jak do světa VPN.
2
ZyXEL 660 – nejčastěji dodávaný modem / router/ firewall pro xDSL okruhy
34
Praktická část
35
3. Realizace vybraného řešení - MikroTIK 3.1.
Možností připojení k prvku
Zařízení RouterBOARD lze konfigurovat jak lokálně pomocí tzv. kříženého kabelu tak vzdáleně pomocí nástrojů WinBOX, WEBfig a nástroji využívající TELNET a SSH.
3.1.1.
WINBOX
Ačkoliv RouterBOARDy (dále i pod zkratkou RB, či MikroTik) mají již v základu jistou konfiguraci (IP, DHCP), budeme předpokládat, že v našem případě to tak není. Pro základní konfiguraci našeho Mikrotiku budeme potřebovat nástroj Winbox, který lze získat ze stránek www.mikrotik.com pod názvem Winbox Configuration Tool. Po stažení, uložení a spuštění toho nástroje, což může vyžadovat zvýšená systémová opravnění a konfiguraci firewallu, se zobrazí základní nabídka. Tuto základní nabídku se pokusím stručně popsat v následující tabulce, nicméně rozložení prvků je vcelku intuitivní.
Obrázek 9 - WinBOX login
Tabulka 12 – popis rozhraní WinBOX Connect To:
Slouží k zadání cílové IP či Mac Adresy
Tlačítko „…“
Autodetekce RB v naší síti.
Login:
Uživ. jméno do systému (výchozí - admin)
Password:
Systémové Heslo (výchozí - bez hesla)
Keep Password:
Umožní zapamatování hesla pro daný RB
Secure Mode:
Kryptuje spojení mezi WinBox a RB
Load Previous Session
Načte připojení k naposledy konf. RB
Connect
Pokusí se připojení se zadanými údaji
36
Pro konfiguraci RouterBOARDu jej připojíme k počítači ethernetovým kabelem a vyčkáme cca 15 vteřin, dokud si operační systém nevygeneruje privátní IP adresu. Následně lze po klepnutí na tlačítko (…) vyhledat příslušný routerboard a připojit se na jeho MAC Adresu.
Obrázek 10 - WinBOX - vyhledání zařízení
WinBox nás informuje o výchozí konfiguraci. Vymažeme ji tlačítkem Remove Configuration. Následně často dojde k přerušení spojení, takže zopakujeme předchozí krok.
Obrázek 11 - Odstranění konfigurace
37
Na obrázku x je dobře patrná hierarchičnost menu nástroje WinBOX. Je zde otevřeno několik oken, kdy nejspodnější zobrazuje připojené rozhraní, okno které je o úroveň výše, pak zobrazuje IP adresy v systému a konečně poslední, aktivní okno, zobrazuje proces přidání IP adresy. Celý postup přidání IP adresy je vcelku jednoduchý. Z levého Menu vybereme: IP -> Adresses -> a stiskem červeného znaku plus přidáme adresu na patřičné rozhraní.
Obrázek 12 - Adresace rozhraní
Analogicky se lze pohybovat v celém konfiguračním menu. Ačkoliv je WinBOX plnohodnotným konfiguračním nástrojem, některé konfigurace je jednoduší provádět přes systémový terminál který nalezneme pod volbou „New Terminal“.
3.1.2.
WEBfig
Nástroj webfig je, co se grafického rozhraní a funkčnosti týče, shodný s WinBOXem. Zásadní rozdíl je v možnosti konfigurovat vzdálený prvek prostřednictvím webového prohlížeče. Výhodou tak je nezávislost na platformě windows. 38
3.1.3.
SYSTÉMOVÁ KONZOLE
Jak jsem se již zmínil, Router OS je možné konfigurovat pomocí CLI a skriptů. Tyto skripty je možné vkládat do konzole, a to buď prostřednictvím WinBOXu, nebo je možné provést vzálené připojení pomocí SSH či služby telnet. Veškeré níže uvedené konfigurace je tedy možné vkládat i pomocí nastrojů jako je PUTTY. V konzoli je možné dopňovat syntaxi pomoci tlačítka „Tab“. Samotná syntaxe příkazů je velmi specifická a víceméně kopíruje rozložení prvků v WinBOXu.
3.2.
ZÁKLADNÍ KONFIGURACE
Před vlastním začátkem si připomeňme, že pokud nebude uvedeno jinak, veškeré zobrazené kódy jsou vkládány přímo do terminálu prostřednictvím nástroje WinBOX. Některé nastavení lze ovšem paradoxně daleko elegantněji a jednodušeji provést přes grafické rozhraní, proto si dovolím obě metody kombinovat tak, abych případného čtenáře neodradil již v po první konfiguraci. Kompletní kódy pro nastavení lze jednoduše dohledat na přiloženém CD, či jejich alternativy na internetu. Pokud v následujícím textu budu odkazovat na proceduru přidání (rozhraní, IP adresy), je tímto myšleno využití červeného tlačítka s piktogramem PLUS. Pro demonstraci konfigurace RouterBOARDu jsem vybral následující design sítě. Přiložené schéma nám tak poslouží jako orientační bod pro následnou konfiguraci a lépe se tak budeme odkazovat na jednotlivé parametry sítě.
Obrázek 13 - Design VPN řešení
V této první části nastavím WAN interface, lokální síť a připojím se do této sítě pomocí protokolu PPTP.
39
3.2.1.
Konfigurace rozhraní
Následujícím skriptem nastavíme rozhraní na správné parametry pro ethernet a pojmenujeme je tak, jak je zvýrazněno tučným písmem. /interface ethernet set 0 arp=enabled auto-negotiation=yes disabled=no full-duplex=yes l2mtu=1526 \ mtu=1500 name=ether1_WAN speed=100Mbps set 1 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_LAN1 speed=100Mbps set 2 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_LAN2 speed=100Mbps set 3 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_LAN3 speed=100Mbps set 4 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_LAN4 speed=100Mbps -------------------------------------------------------------------------------------------------------------Protože by bylo zbytečné se už v počátku zaleknout dlouhých konfiguračních pasáží, tento skript lze zkrátit pouze na následující: /interface ethernet set 0 arp=enabled name=ether1_WAN (analogicky lze takto pojmenovat i ostatní rozhraní) Ostatní hodnoty můžeme ponechat na výchozích hodnotách, neboť jsou shodné s těmi, které jsou uvedeny výše. Pokud bychom i přes přehlednou zkrácenou verzi raději volili grafické rozhraní, lze pojmenování provést přes volbu „Interfaces“.
Obrázek 14 - Přidání rozhraní
40
3.2.2.
Vytvoření mostu
Síťový most slouží jako transparentní spojení několika rozhraní do jednoho virtuálního, se kterým poté můžeme pracovat. Rozhraní přidaná do mostu se chovají jako porty běžné Switche. Přidání mostu provedeme přes volbu „Bridge“. Důležité je ovšem dodržet nastavení pro ARP: „Proxy – ARP“ neboť pokud bychom tuto volbu neaktivovali, připojené stanice by nebyly dostupné pro lokální síť a naopak. Do takto vytvořeného mostu (bridge) nyní přidáme jednotlivé porty: postupujeme dle níže uvedeného skriptu analogicky pro každý daný interface. Důležité je ovšem ponechat první rozhraní mikrotiku ether0 – označené jako ether0_WAN mimo tento síťový most, neboť jej použijeme pro WAN připojení. /interface bridge port add bridge=bridge1 interface=ether2_LAN1 add bridge=bridge1 interface=ether2_LAN2 --------------------------------------------------------------------------------------------------------------
3.2.3.
Konfigurace IP adres
Úspěšným provedením těchto příkazů z předchozího odstavce máme nyní k dispozici RB nakonfigurovaný jako switch. V následujících bodech jen nastavíme jako Router. Nejdříve je nutné přiřadit jednotlivým rozhraním IP adresy. Je důležité zachovat syntaxi, včetně CIDR notace (/28 a /24) a adresy sítě pro jednotlivé interface. /ip address add address=92.63.63.180/28 disabled=no interface=ether1_WAN network=92.63.63.176 add address=192.168.11.1/24 disabled=no interface=bridge1 network=192.168.11.0 --------------------------------------------------------------------------------------------------------------
41
3.2.4.
Konfigurace Routování
Nyní nám k úspěšnému připojení RouterBOARDu do internetu zbývá poslední krok. Tímto krokem je nastavení výchozí brány. Pokud bychom v tento okamžik nahlédli do routovací tabulky, obsahovala by jedinou, dynamickou routu pro naši lokální síť. Přidáme tedy výchozí bránu dle parametrů, které máme k dispozici pro WAN připojení. V mém případě byla tato brána na adrese 92.63.63.177. /ip route add distance=1 dst-address=0.0.0.0/0 gateway=92.63.63.177 -------------------------------------------------------------------------------------------------------------Nyní můžeme vyzkoušet správnost naší konfigurace pomocí protokolu ICMP a nástroje echo. Jak je patrné, vzdálený server nám odpovídá s velmi pěknou odezvou. [zacek@BakuTik] > ping 78.41.19.2 HOST
SIZE TTL TIME STATUS
78.41.19.2
56 125 3ms
78.41.19.2
56 125 2ms
78.41.19.2
56 125 2ms
--------------------------------------------------------------------------------------------------------------
3.2.5.
Konfigurace DNS
Vzhledem ke skutečnosti, že jsme dosud nenakonfigurovali protokol DNS, RouterBOARDu se nedaří dohledat adresu seznam.cz [zacek@BakuTik] > ping seznam.cz while resolving ip-address: could not get answer from dns server -------------------------------------------------------------------------------------------------------------Jednoduchým skriptem DNS korektně nastavíme. Opět zvolíme servery našeho ISP a jako třetí server doplníme například server společnosti google.com. set cache-max-ttl=1w servers=78.41.19.2,78.41.19.3,8.8.8.8
42
3.2.6.
Konfigurace LAN sítě
Z přechozí podkapitoly máme nastaveny IP adresy pro WAN i LAN rozhraní. Nyní tedy zbývá předposlední bod pro základní funkčnost. Tímto bodem je nastavení DHCP serveru pro správné přiřazení IP adresy klientským počítačům. Pro tento bod je v RouterOS jednoduchý průvodce dohledatelný pod volbou „IP -> DHCP Server“.
Obrázek 15 - DHCP server
3.2.7.
Překlad IP adres (Source NAT)
Posledním bodem v kapitole Základní konfigurace je nastavení zdrojového NATu pro data odcházející do internetu z klientů připojených do LAN sítě. Tato funkce má kromě základního bezpečnostního aspektu také jednoduchý důvod: Umožní nám připojit větší množství stanic do internetu skrze jednu veřejnou IP adresu, neboť MikroTIK u každého odchozího paketu nahrazuje zdrojovou IP adresu adresou přiřazenou pro WAN rozhraní. /ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ether1_WAN
43
3.2.8.
Základní zabezpečení
Během předchozí kapitoly jsme úspěšně nakonfigurovali MikroTIK do stádia jednoduchého směrovače – firemního routeru. Nyní se jej pokusíme alespoň základním způsobem zabezpečit. Přes volbu“ System -> users“ zobrazíme tabulku uživatelů. Vytvoříme svého vlastního, a přiřadíme patřičné oprávnění (FULL) a heslo. Následně silně doporučuji se jako tento nový uživatel přihlásit a původního uživatele „admin“ odstranit.
Obrázek 16 - Správa uživatelů
Firewall prozatím necháme z testovacích důvodů otevřený, pakliže ovšem MikroTik konfigurujeme z bezpečí naší vlastní LAN sítě, můžeme ochránit alespoň administrační rozhraní RouterOS. Přidáme tedy pravidla na blokování SSH, http a WinBOX. /ip firewall filter add action=drop chain=input dst-port=22 in-interface=ether1_WAN protocol=tcp add action=drop chain=input dst-port=80 in-interface=ether1_WAN protocol=tcp add action=drop chain=input dst-port=8291 in-interface=ether1_WAN protocol=tcp 44
3.2.9.
Záloha nastavení
Současný stav MikroTIKu zvolíme jako stav výchozí. Veškeré další postup budou z tohoto stavu vycházet. Abych se vyhnul opakované konfiguraci, a naopak odstraňování nevyužívaných služeb provedu zálohu nastavení. Volba „Files“ poskytuje možnost tuto zálohu pohodlně provést pomocí patřičného tlačítka, které vygeneruje konfigurační soubor. Případná obnova lze provést pomocí výběru tohoto souboru a volby „restore“.
Obrázek 17 - Záloha konfigurace
45
3.3.
Konfigurace VPN
3.3.1.
Modelová situace.
Pro demonstraci VPN spojení zvolím pro první situaci protokol PPTP, a jako klientský počítač použiji virtualizované Windows XP. IP adresa VPN serveru 92.63.63.180 IP adresa VPN klienta 109.233.73.14 Pro druhou modelovou situaci zvolím protokol IPSec.
3.3.2.
PPTP s interními uživateli
Prvním krokem pro nastavení PPTP na MikroTIKu je aktivování PPTP serveru. Jak je zobrazeno na obrázku 18, najdeme tuto volbu pod položkou PPP a PPTP server.
Obrázek 18 - PPTP server
Je vhodné si povšimnout změny MTU pro datový paket z 1500 bajtů na 1460. Tato skutečnost je následek zapouzdření jednoho paketu IP do druhého. (Viz. Strana 15.)
Obrázek 19 - Zapouzdření paketu
46
Druhým krokem je vytvoření uživatele pro příchozí připojení. Přes záložku „secrets“ v panelu „PPP“ tedy vytvoříme uživatele „test“ s heslem „test“. Důležitým bodem je nastavení IP adres pro PPTP klienty. Pro lokální adresu nastavíme IP ROUTERU a vzdálenou zvolíme mimo rozsah DHCP serveru.
Obrázek 20 - Přidání PPP uživatele
Případné dohledání připojeného klienta lze dohledat v záznamovém LOGU v mikrotiku. V následujících řádcích tedy vidíme posloupnost připojování skrze protokol PPTP. 01:47:26 pptp,info TCP connection established from 192.168.10.179 01:47:26 pptp,ppp,info : waiting for call... 01:47:26 pptp,ppp,info : authenticated 01:47:27 pptp,ppp,info : connected 01:47:27 pptp,ppp,info,account test logged in, 192.168.11.21 Konfigurace klienta pro připojení k PPTP se liší dle operačního systému, ale bývá to velmi intuitivně dostupná volba Pro přehlednost tedy jen odkazem: http://www.cheapernet.cz/navody/pptp_windows_7 http://www.cheapernet.cz/navody/pptp_windows_xp
47
3.3.3.
PPTP s User Manager
Pevné zadávání uživatelů do interní databáze je zcela jistě jednoduché, ale bohužel nepříliš elegantní řešení. Například už jen s ohledem na skutečnost, že uživatele lze přidávat pouze pod administrátorským účtem, tudíž nelze tuto činnost delegovat na jiného zaměstnance bez případného bezpečnostního rizika. Rád bych tedy předvedl využití modulu User Manager. Tento modul je de facto RADIUS server. Použitím tohoto modelu přihlašování také lehce navýšíme úrovně zabezpečení celého řešení neboť komunikace mezi modulem PPTP serveru a RADIUSu je šifrována. RADIUS (Remote Authentication Dial In User Service, česky Uživatelská vytáčená služba pro vzdálenou autentizaci) je AAA protokol (authentication, authorization and accounting - česky autentizace, autorizace a účtování) používaný pro přístup k síti nebo pro IP mobilitu. [INT 5] Usermanager je doplňkový balíček dostupný na stránkách www.mikrotik.com. Tento balíček umožní po stažení, rozbalení archivu a překopírovaní do složky FILES ve Winboxu využívat možnosti správy uživatelů.
Obrázek 21 - Stažení a instalace usermanager
Před následující konfigurací je nutné zařízení restartovat pro korektní načtení tohoto modulu.
48
Samotná konfigurace lze provést opět přes WinBOX, či několika krátkými příkazy. Na rozdíl od základní konfigurace, nejsou příkazy pro nastavení UserManageru již tak triviální a sebevysvětlující, proto je budu vždy pod příkazem komentovat. /ppp profile add change-tcp-mss=yes local-address=192.168.11.1 name=ppptp remoteaddress=dhcp_pool1 Vytváříme PPP profil s konfigurací IP adresy pro Router (tato zůstává stejná jako pro lokální LAN) a vzdáleným klientům necháme přiřadit IP adresu z DHCP rozsahu. Tato varianta se liší od pevně zadaných uživatelů, kteří mají vždy adresu rezervovánu. -------------------------------------------------------------------------------------------------------------/radius add accounting-port=1813 address=92.63.63.180 authentication-port=1812 secret=123456 service=ppp timeout=3s V tomto bodě konfigurujeme samotný RADIUS. IP adresa pro komunikaci musí být uvedena z WAN rozhraní a jsem velmi překvapen skutečností, že nelze uvést adresu localhost. Bohužel toto je, zdá se, jediná funkční konfigurace. Jako SHARED KEY pro šifrování dat mezi RADIUSem a User Managerem volím jednoduché heslo 123456, nicméně v reálném nasazení se podobným excesům samozřejmě vyvarujme. -------------------------------------------------------------------------------------------------------------Předposledním bodem pro korektní propojení zůstává nutnost přidat uživatele admin pro přístup do konfigurace rozhraní UserManager: /tool user-manager customer add login="admin" password="123456" permissions=owner Tyto údaje by ale rozhodně měly být rozdílné od těch, které jsme zvolili pro administraci routeru.
49
Pro správu uživatelů se nyní přihlásíme pomocí prohlížeče do rozhraní User Manageru (http://LAN_adresa_routeru/userman)
Obrázek 22 - Login User Manager
Po úspěšném přihlášení propojíme modul User Manager s RADIUS serverem viz obrázek 22. Použijeme údaje zadané v bodě „/radius“. Pro transparentnost doporučuji zapnout možnost logování veškerých požadavků na připojení.
Obrázek 23 - Propojení RADIUS – UserMan
50
V závěru tedy můžeme přidat vybrané uživatele (obr. 23) a otestovat spojení.
Obrázek 24 - Grafické rozhraní User Man
Klientský počítač s Windows XP je úspěšně připojen a data jsou kryptována pomocí MPPE.
Obrázek 25 - Stav síťové rozhraní VPN - WinXP
Pohled na vytočené VPN spojení z pohledu modulu User Manager:
Obrázek 26 - Přehled připojených klentů - Mikrotik
51
3.3.4.
L2TP síť – síť tunel
Posledním řešením, které představím na platformě MikroTIK je L2TP VPN. Tento tunel nepoužívá šifrování IPSec, jak bývá zvykem, ale jednoduší MPPE. Konfigurace je tak výrazně jednodušší, ale lze realizovat jen oproti zařízení MikroTIK. Konfiguraci pomocí skriptů již nebudu uvádět, ale naopak využiji obrázek 26 k popisu směrování paketů v těchto tunelech.
Obrázek 27 – Design sítě založené na L2TP
Princip sestavení tunelu je velmi podobný PPTP, kdy jedna strana je volající a druhá volaná. Po spojení a vzájemné autentifikaci a autorizaci je tunel korektně nastaven pro protokol IP. Jsou nastaveny adresy pro oba konce tunelu a nastaveny routy pro vzdálené sítě. Pokud se tedy počítač v síti LAN 1 rozhodne komunikovat s PC v sítí LAN 2, cesta paketů bude následující:
PC1 sestaví paket a nahlédne do své routovací tabulky 3, protože cíl zcela jistě nedohledá, zašle paket na výchozí bránu (192.168.77.1).
Výchozí brána opět pomocí routovací tabulky vyhodnotí, že cílová adresa se nachází na rozhraní L2TP a zašle paket na vzdálený prvek (IP 10.1010.2).
Tento router již velmi pravdě podobně zná PC s patřičnou IP adresou, takže paket dle MAC adresy doručí do cílové stanice.
Cílová stanice po analýze paketu zjistí, že zdrojová IP se nenachází ve stejném segmentu jako ona samotná, a proto paket s odpovědí zašle na svoji výchozí bránu.
Dále společná komunikace postupuje opět dle jednotlivých bodů, dokud není spojení ukončeno.
3
Viz tabulka 2 na straně 15
52
3.4.
Datová propustnost versus šifrování
V této předposlední kapitole se zaměřím na zajímavé hledisko pro VPN, které jsem zmínil v teoretické části. Během testování jednotlivých variant jsem se často zamýšlel nad maximální možnou propustností VPN sítě. Během své praxe jsem se již setkal s řešením, které bohužel nedokázalo obsluhovat mnoho současných připojení od klientů, ačkoliv rychlost linky nebyla nijak závratná – pohybovala se v řádu MB/s. Testování jsem provedl na prvku:
RouterBOARD 450 300 Mhz ATHEROS CPU & 32 MB RAM
a konektivitě:
100 Mbps Full-Duplex – CAT 5E EtherNet
Obrázek 28 - Srovnání rychlosti připojení v závislosti na šifrování
Průběh měření:
DUPLEX4 - SIMPLEX5
DUPLEX – SIMPLEX
Metoda testovaní:
Generování náhodných TCP paketů o velikosti 1500 B. Nejprve
duplexní přenos, později střídavé testování jednoho a druhého směru. Průběh testování mne překvapil, neboť zařízení podávalo rovnoměrný výkon, až do plného vytížení CPU, a ačkoliv nedisponuje kryptografickým čipem, bylo schopno
4 5
Duplexní přenos Simplexní přenos
vytíženy oba přenosové směry vytížen vždy pouze jeden směr.
53
vygenerovat až 50Mbps. Pro objektivitu ovšem dodávám, že použitý algoritmus RC4 nepatří k nejsilnějším a je určen pro rychlé šifrování v reálném čase.
3.5.
Transparentnost
RouterOS pro dohled nad probíhajícím provozem nabízí zajímavé metody. Delším používáním lze dojít i k názoru, že nejlepší formou dohledu je surový výstup integrovaného monitorovacího nástroje. Nabízí pohled na vytvořená spojení a zdrojové resp. cílové IP. Na obrázku 27 je například dohledatelné, že využívám vzdálenou plochu RDP, ICMP nástroj PING a počítač provádí na pozadí DNS dotaz. Tato data lze samozřejmě analyzovat do grafické podoby a poskytnout z nich ucelený výstup.
Obrázek 29 - Probíhající provoz na VPN
54
4. Závěr práce Ve své bakalářské práci jsem se zabýval tématem Virtuálních sítí a jejich využití. Cílem mé práce bylo analyzovat trh, dostupné standardy a navrhnout několik řešení VPN. Tyto varianty následně posoudit a vypracovat vítězné řešení.
Nemohu
objektivně posoudit splnění tohoto úkolu, ale věřím, že vznikl dokument vhodný kupříkladu pro budoucí administrátory sítí. Například pro studenty, které osloví předměty, jako jsou Počítačové sítě a podobné, které poskytnou minimální potřebné znalosti nutné k snadnému porozumění této práce. Budu tedy doufat, že případný typický čtenář – student na praxi, či brigádník poskytující IT podporu v menší společnosti, nalezne dokument, který pro něj bude přínosný svým zjednodušeným pohledem na virtuální sítě. V teoretické části jsem se zabýval problematikou výběru vhodného VPN řešení pro menší společnost. Vyslovil jsem domněnku, že pro takovouto společnost budou nejdůležitější kritéria bezpečnost, cena a transparentnost. V zájmu objektivity jsem oslovil několik kolegů a jejich názory zpracoval vícekriteriálním rozhodováním. Vítěznou variantou se stalo řešení postavené na platformě RouterOS společnosti Mikrotik. Tento výsledek mne rozhodně nepřekvapil, neboť již během testování variant byl jedním z favoritů. Je ovšem těžké posoudit, jakou váhu by měla daná kritéria, pokud bych čerpal názory a informace od majitelů menších společností, či od středního managementu. V praktické části jsem realizoval několik řešení pomocí prvku RouterBOARD společnosti MikroTIK. Troufám si tvrdit, že jakkoliv je tato platforma na první pohled komplikovaná lze se s konfigurací prvků vcelku rychle sžít a dostat se tak od triviálních typových řešení ke komplexnějším variantám bez nutnosti jakýchkoliv dalších nákladů. Téma, které jsem si vybral je dostupné v široké škále literatury, ovšem je zhusta popsáno tak, že se předpokládá rozsáhlá znalost počítačových sítí, kterou ne každý správce disponuje. Ostatně i autor práce v roce 2001, při svém prvním setkání s VPN rozuměl pouze pojmům jako IP adresa či výchozí brána a byl stěží schopen nastavit domácí router.
55
Seznam použitých zkratek a pojmů Act.Directory databáze uživatelů objektů skupin a práv v OS Windows Server Aplet
softwarová komponenta běžící v jiném programu (Java v int. Prohlížeči)
ARP
služba udržující seznam MAC adres, které dané zařízení "zná"
Autentizace ověření proklamované identity uživatele, tento je následně autorizován Autorizace
udělení oprávnění objektu, či uživateli na základě úspěšné autentizace
Blackbox
uzavřené hardwarové řešení výrobce, které nelze snadno modifikovat
CIDR notace dekadické číslo za lomítkem, označuje masku (rozsah) dané sítě CLI
příkazová řádka, konzole.
DMZ
zóna kde se nacházejí server společnosti - často s veřejnou IP
Clientless
pro navázání spojení není nutné instalovat jakýkoliv SW
CRM
informační systém pro správu zákazníků a komunikaci s nimi
GUI
graphic user interface - grafický výstup programu
Interface
rozhraní – určitý fyzický, či logický port na směrovači čí NIC kartě
ISP
internet service provider - poskytovatel internetu
MAC Adresa fyzická adresa zařízení pro adresaci v sítích LAN
lokální síť - síť omezena na určitou, nevelkou lokalitu
PING
nástroj sloužící ke zjištění prodlevy mezi cílovým a zdrojovým PC
Router
směrovač - aktivní síťový prvek, který směrují procházející pakety
Switch
přepínač – aktivní síťový prvek, který rozesílá pakety cílovým stanicím
Ousourcing
zde například správa IT externí společností
RADIUS
server poskytující možnost autorizace uživatelů
SSH
zde protokol, program pro vzdálenou správu zařízení
Syntaxe
zde nutná posloupnost příkazů
LDAP
server adresářové služby - poskytuje možnost autorizace uživatelů
TELNET
postarší protokol pro vzálenou správu zařízení
PUTTY
program umžnující připojení pomocí SSH či TELNET
WAN
rozsáhlá síť - síť s geografickým rozsahem v rámci kontinetu
56
Seznam obrázků Obrázek 1 - Klient – síť ....................................................................................................... 12 Obrázek 2 - Klient – Server ................................................................................................. 13 Obrázek 3 - Síť - Síť ............................................................................................................ 13 Obrázek 4 - Grafické rozhaní sítě - Windows SBS ............................................................. 25 Obrázek 5 - GUI RouterOS ................................................................................................. 27 Obrázek 6 - Pfense - pravidla firewallu ............................................................................... 28 Obrázek 7 - Kerio Control - uvodní stránka ........................................................................ 30 Obrázek 8 - Rozhodovací diagram technologií ................................................................... 31 Obrázek 9 - WinBOX login ................................................................................................ 36 Obrázek 10 - WinBOX - vyhledání zařízení ....................................................................... 37 Obrázek 11 - Odstranění konfigurace .................................................................................. 37 Obrázek 12 - Adresace rozhraní .......................................................................................... 38 Obrázek 13 - Design VPN řešení ........................................................................................ 39 Obrázek 14 - Přidání rozhraní ............................................................................................. 40 Obrázek 15 - DHCP server .................................................................................................. 43 Obrázek 16 - Správa uživatelů............................................................................................. 44 Obrázek 17 - Záloha konfigurace ........................................................................................ 45 Obrázek 18 - PPTP server ................................................................................................... 46 Obrázek 19 - Zapouzdření paketu ....................................................................................... 46 Obrázek 20 - Přidání PPP uživatele..................................................................................... 47 Obrázek 21 - Stažení a instalace usermanager .................................................................... 48 Obrázek 22 - Login User Manager ...................................................................................... 50 Obrázek 23 - Propojení RADIUS – UserMan ..................................................................... 50 Obrázek 24 - Grafické rozhraní User Man .......................................................................... 51 Obrázek 25 - Stav síťové rozhraní VPN - WinXP .............................................................. 51 Obrázek 26 - Přehled připojených klentů - Mikrotik .......................................................... 51 Obrázek 27 – Design sítě založené na L2TP ....................................................................... 52 Obrázek 28 - Srovnání rychlosti připojení v závislosti na šifrování ................................... 53 Obrázek 29 - Probíhající provoz na VPN ............................................................................ 54
57
Seznam použité literatury a zdrojů Literatura [1]
SHINDER, Debra. Počítačové sítě. 1. vydání. [s.l.] : SoftPress, 2003. 752 s. ISBN 80-86497-55-0.
[2]
STREBE, Matthew; PERKINS, Charles. Firewally a proxy-servery. Brno : Computer Press, 2003. 449 s.
[5]
JAROSLAV, Ramík. Vícekriteriální rozhodování. 1999. Karviná : Slezská univerzita v Opavě, 1999. 216 s. ISBN 80-7248-047-2.
[6]
DOSTÁLEK, Libor; KABELOVÁ, Alena. Velký průvodce protokoly TCP/IP a systémem DNS. Praha : Computer Press, 200. 542 s.
[7]
PUŽMANOVÁ, Rita. Moderní komunikační sítě od A do Z. Praha : Computer Pres, 2006. 432 s.
Elektronické zdroje [INT 1]
ŠTEIDL, Přemysl. Srovnání VPN realizací. Brno, 2007. 51 s. Diplomová práce. Masarykova univerzita. Dostupné z WWW: .
[INT 2]
Point-to-Point Protocol. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-08-17]. Dostupné z WWW: .
[INT 3]
Www.samuraj-cz.com [online]. 2011 [cit. 2011-08-17]. Dostupné z WWW: http://www.samuraj-cz.com/clanek/vpn-1-ipsec-vpn-a-cisco/
58
[INT 4]
Kryptografie. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-08-19]. Dostupné z WWW: .
[INT 5]
RADIUS. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-08-19]. Dostupné z WWW: .
[INT 6]
PfSense. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-08-21]. Dostupné z WWW: .
[INT 7]
MikroTik. Wiki [online]. 2010 [cit. 2011-08-21]. MikroTik . Dostupné z WWW: .
59