8Budování VPN pomocí IPSec – příklady a řešení

Vzdálený přístup je dnes zcela neoddiskutovatelnou součástí správy síťových zařízení libovolně velké lokální sítě, a to především s ohledem na nutnost pohotového zásahu správce sítě v případě nenadálé situace a ve spojitosti se snížením celkových nákladů na takovou akci. Stačí tedy, aby byl správce sítě připojen k Internetu, a může tak vzdáleně monitorovat a případně rekonfigurovat jednotlivé síťové prvky.

V minulosti se pro vzdálený přístup ke správě síťových prvků používal protokol Telnet. Ten ovšem nijak nechránil vlastní komunikaci, takže bylo relativně snadné provoz odposlouchávat a zachytit přihlašovací informace. Rozšířením přístupu k Internetu tedy vznikla potřeba na takový protokol, který by veškerou komunikaci zabezpečil před potenciálními útočníky. Vznikl tak protokol SSH (Secure Shell), který standardně komunikuje transportním protokolem TCP na portu 22, poskytuje zabezpečenou autentizaci obou stran, zajišťuje jejich integritu, transparentní šifrování přenášených dat a volitelně i bezeztrátovou kompresi (více informací lze nalézt v doporučení RFC 4252).

Potřeby velkých společností vzájemně bezpečně propojit oddělené pobočky daly vzniknout virtuálním privátním sítím zajišťujícím propojení dvou a více síťových zařízení v prostředí nedůvěryhodné veřejné sítě Internet. Dalším důvodem byla i cena za propojení. V případě využití vyhrazených okruhů by totiž byly náklady nesrovnatelně vyšší. VPN lze obecně dělit podle vrstvy, na které pracují z pohledu referenčního modelu OSI. Nejpoužívanější VPN technologie přehledně uvádí následující tabulka.

Nejpoužívanější technologie v sítích VPN

Typ VPN

Vrstva RM-OSI

Popis

Frame Relay

spojová

Vyžaduje homogenní prostředí Frame Relay. Spolehlivější, bezpečnější, ale i dražší v porovnání s IP VPN.

ATM

spojová

Vyžaduje homogenní prostředí ATM. Podobně jako FR poskytuje virtuální kanály se smluvenými parametry.

L2TP/PPTP

spojová

L2TP jako náhrada PPTP, které odvozuje klíče z hesla uživatele (potenciální slabina). PPTP využívá pro šifrování MPPE (Microsoft Point-to-Point Encryption) a L2TP IPsec. Definovány doporučeními RFC 2637RFC 2661.

BGP/MPLS

spojová/síťová

Slouží k bezpečné výměně informací mezi hraničními směrovači BGP (Border Gateway Protocol) v páteřních sítích pomocí MPLS tunelů. Definován doporučením RFC 4364 a dalšími.

IPSec

síťová

Bezpečnostní rozšíření klasického protokolu IP. Šifrováním každého paketu vzniká transparentní zabezpečený přenos (tzv. tunel). Definován několika RFC doporučeními.

SSL/TLS

transportní a vyšší

SSL (Secure Sockets Layer) je technologie nezávislá (transparentní) na použité technologii síťové vrstvy. Ze SSL je následně odvozen protokol TLS (Transport Layer Security) definovaný v doporučení RFC 5246.

Nejobvyklejším způsobem propojení poboček je dnes spojení pomocí protokolu IPSec VPN, kdy je sestaven šifrovaný jednosměrný logický (virtuální) kanál, tzv. SA, mezi směrovači/firewally umístěnými na perimetru lokální sítě.

Pro duplexní (obousměrnou) komunikaci je tedy třeba sestavit dvě nezávislé jednosměrné SA.

Protokol IPSec je povinnou součástí IPv6 a dodatečně byl implementován i do IPv4.

Umožňuje pracovat ve dvou režimech (tunelovacím – plně zapouzdřený původní IP paket do nového IP paketu, a transportním – záhlaví protokolu IPsec je vloženo mezi původní IP záhlaví a záhlaví protokolu vyšší vrstvy) a využívá pro zabezpečení dvou protokolů AH a ESP. Oba protokoly podporují buďto nulové šifrování (NULL), nebo algoritmy DES (Data Encryption Standard), 3DES (Triple DES), AES (Advanced Encryption Standard) a Blowfish. Protokol IPsec je definován v mnoha doporučeních RFC (Request For Comments), ale nejzákladnější je doporučení RFC 4301. Pro zajištění integrity jsou použity HMAC algoritmy MD5 (Message-Digest 5) a SHA-1.