Az Internet egyre nagyobb szerepet játszik az élet minden területén, így a kereskedelem világában is. Az üzleti tartalmú kommunikáció során pedig kulcsfontosságú a hálózat biztonsága. A bemutatandó technológia olyan megbízható megoldást kínál, amellyel földrajzi korlátok nélkül megoldható egy könyvtári hálózathoz való biztonságos, ugyanakkor teljes körű hozzáférés.
A virtuális magánhálózat (továbbiakban VPN) olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy szervezet által kizárólag saját céljaira kialakított és fenntartott, továbbiakban privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet), amelyben nem bíznak meg.
A biztonsági megoldások gyártónként eltérőek, de a legtöbb biztonsági szakértő egyetért abban, hogy a VPN az adatátvitel során alkalmaz valamiféle kódolást (encryption) , és a szolgáltatást a gép vagy felhasználó csak egy erős azonosítási mechanizmus (authentication) sikeressége után veheti igénybe, valamint a megoldás törekszik elrejteni a privát hálózat belső topológiáját a potencionális külső támadóktól.
Egy VPN kialakítása leegyszerűsítve úgy néz ki, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat (security gateway) helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton. Ha a kriptográfia elég erős, a megvalósítás elég körültekintő és az adminisztrációt hozzáértő ember végzi, akkor a résztvevők bátran bízhatnak ebben a csatornában. Ettől fogva az ilyen hálózatrészek úgy viselkednek, mintha egyetlen hatalmas privát hálózatot képeznének.
A VPN alapértelmezésben bizonyos hálózatrészek összekapcsolását jelenti. Ennek speciális esete, amikor nem, vagy nem csak hálózatrészeket kapcsolunk össze, hanem hálózatrészt, vagy részeket egy konkrét géppel. A "Road Warrior" (utcai harcos) tipikusan olyan utazó, aki laptopról kapcsolódik a privát hálózatba. Adminisztratív szempontból ez megegyezik azzal az esettel, amikor valaki otthoni gépéről próbál bejutni az irodai hálózatba úgy, hogy nem rendelkezik fix IP címmel. VPN alaptípusok, előnyeik és hátrányaik a következők; Habár napjainkban a VPN megoldások egyre szaporodnak, ezért elég nehéz őket kategorizálni, de alapvetően háromféle VPN típus létezik:
Hardware közeli megoldások tulajdonképpen olyan router-ek alkalmazását jelenti, amelyek képesek az adatforgalom titkosítására. Használatuk egyszerű, mivel ez a megoldás áll a legközelebb a 'plug and play' titkosítás megvalósításához. A legmagasabb fokú hálózati áteresztőképességet (throughput) nyújtják az összes többi megoldással szemben, hiszen nem emésztenek fel fölösleges erőforrásokat plusz operációs rendszer és segédalkalmazások kiszolgálására. Mindezen jó tulajdonságaik ellenére korántsem olyan rugalmasak, mint például a software alapú megoldások, éppen ezért a legjobb hardware alapú VPN rendszerek a hozzáférés vezérlés egy részét átengedik, vagy megosztják más korlátozó eszközökkel, mint amilyen a tűzfal (firewall). A legnagyobb gyártók, akik ilyen jellegű megoldásokkal szolgálnak: Cisco, Ascend (Lucent), Bay Networks, 3Com, SMC
A tűzfal alapú megoldások kihasználják a tűzfalak biztonsági mechanizmusának előnyeit, mint például a hozzáférés korlátozását bizonyos hálózatrészek között, a címfordítást (NAT : Network Address Translation), megfelelő azonosítási mechanizmusok, kiterjedt (extensive) logolás, valós idejű riasztás. A legtöbb üzleti célú tűzfal alkalmazás operációs rendszerében a kernelbe való beavatkozásokkal (patch) is fokozzák a biztonsági szintet. A VPN szerverek általában a tűzfalakhoz hasonlóan lecsupaszított kiszolgálók, amiken lehetőség szerint semmilyen más alkalmazás nem fut, csak a célhoz szükséges eszközök, a minél kisebb támadási felület mutatása érdekében. Fontos figyelembe venni a VPN teljesítményre gyakorolt csökkentő hatását (főként egy meglévő, amúgy is terhelt tűzfalon veszélyes lehet), habár a legtöbb gyártó itt is célhardver elemeket kínál az általános processzorokon nagy teljesítményt igénylő alkalmazásokhoz, mint amilyen maga a titkosítás. A legnagyobb gyártók, akik ilyen jellegű megoldásokkal szolgálnak: Borderware, Ashley Laurent, Watchguard, Injoy Software közeli megoldások abban az esetben ideálisak, ha a VPN egy-egy határvonala más-más szervezet tulajdonában van (tipikusan terméktámogatás, vagy üzletféli kapcsolatok esetén), vagy abban az esetben, ha ugyanaz a tulajdonos, de eltérő a használt eszközök típusa a szervezeten belül. Manapság a VPN menedzselésére a legrugalmasabb megoldásokat a software alapú termékek nyújtják. A legtöbb ilyen programcsomag lehetőséget ad a csomagok címzés, vagy protokoll szerinti tunnelingjére (a csomagok újracsomagolódnak egy PPP szekvenciába és így jutnak el a célhoz, ahol a fogadó visszabontja), ellentétben a hardware alapú megoldásokkal, amelyek általában a protokollra való tekintet nélkül minden forgalmat tunelleznek. Ez a tulajdonság hasznos lehet abban az esetben, ha a távoli gépeknek kétféle minőségű adattal kell dolgozniuk, olyanokkal amelyeket a VPN-en keresztül kell küldeniük (pl adatbázis bejegyzések a főnökségnek) és olyanokkal, amelyeket nem (web böngészés). Előny még, hogy jól skálázható, hátrány viszont, hogy több háttértudás szükséges a beállításához, mint amilyen a kiszolgáló operációs rendszer széles körű ismerete. Az operációs rendszerek túlnyomó része pedig ma már önmagában is ad valamilyen szintű támogatást. Ezek az operációs rendszerek a következők (a nevezett verziótól kezdve, újabb verzió esetén valószínűleg szintén tartalmaznak támogatást): Microsoft Windows 2000, Apple Mac OS X, IBM OS390, Sun Solaris 8, HP Unix, Linux + FreeSwan, *BSD + Kame. Természetesen az idő előre haladtával a fent említett határvonalak is egyre inkább elmosódnak, hiszen a hardware gyártók is adnak software-eket, hogy minél rugalmasabbá tegyék termékeiket, illetve a software megoldást kínálók is igyekeznek bevonni speciális hardware elemeket a teljesítmény növelése érdekében. Az IPSec szabvány bevezetése is segíti ezen eszközök vegyes alkalmazását.
VPN kialakítására alkalmas protokollok, szabványok a továbbiakban a VPN megvalósítására mutatok néhány módszert, melyek közül különös hangsúlyt fektetek az IPSec-re, mivel manapság ez a leginkább elterjedt és elfogadott módja egy ilyen feladat megoldásának. Az egyéb lehetőségeket csak bemutató jelleggel ismertetem, történelmi, vagy egyéb jelentőségük miatt PPTP A Point to Point Tunneling Protocol eredetileg az Ascend Communications, 3Com, ECI Telematics, U.S. Robotics és a Microsoft által fejlesztett szabványról van szó. Az alapvető cél az volt, hogy nem TCP/IP-t, mint amilyen az IPX át lehessen vinni az Interneten keresztül GRE (Generic Routing Encapsulation) segítségével. A specifikáció elég általános, így megenged szinte bármilyen titkosítási és azonosítási eljárást. Megjegyzendő, hogy ezek kezdetben nem voltak részei a szabványnak, hanem később kerültek alkalmazásra. Több gyártó is készített PPTP-re terméket, de jellemzően Microsoft verziója terjedt el. Így ebben a részben a továbbiakban írt dolgok specifikusak erre a verzióra. • PPTP szerver NT 4.0 vagy újabb verzió PPTP kliens WFW, Win 95 vagy újabb, Macintosh (más gyártó termékével együtt)
Ezt a szabványt VPN megoldásban alkalmazni nem ajánlott, mivel több sarkalatos ponton sem felel meg az elvárásoknak: • Az azonosítás a windows domain biztonsági rendszerére korlátozódik
• Gyenge titkosítási módszerek a kulcsok nem véletlenszerűek a kulcsok túl rövidek, és nem is növelhetőek ezért jelszavak a hash kódból könnyen visszafejthetőek A jelszókezelés a vegyes környezetben nem körültekintően van megoldva a statikus jelszavak könnyen kompromittálhatóak
• A szerver is túlságosan sebezhető átejthető (például spoofing), mivel a csomag azonosítás nincs megvalósítva könnyen lebéníthatóak a szolgáltatások (DOS : Denial of Services) A Microsoft később elismerte a rendszer gyengeségét, és többször is adott ki javításokat az MSCHAP-hoz, de végül is nem sikerült hatékonyan megfoltozni a rendszert, ezért az újabb Windows verziókban már a Microsoft is az IPSec-et ajánlja az L2TP-n belül. A tunneling és titkosítás általában egy PPP tunnelt titkosítanak. Ilyen megvalósítás például a Zebedee, amely Zlib tömörítést, Blowfish titkosítást és a Diffie-Hellman kulcscserélő protokollt alkalmazza. Megvalósítható továbbá SSH kapcsolatba csomagolt PPP szekvenciákkal is. Ezeknek a megoldásoknak az az előnye, hogy meglévő software komponensekből kiépíthetőek, akár a kernel módosítása nélkül, konfiguráció nem, vagy csak alig szükséges és a működés érdekében a lehető legkisebb mértékben veszik igénybe az erőforrásokat. A védelem szintje alacsonyabb, mivel általában nem támogatják az automatikus kulcsú titkosítást, továbbá nem kompatibilisek más VPN megoldásokkal, mivel egyedi szabványokon alapulnak
Az MPLS VPN, azaz a Multiprotokoll Label Switching VPN különösen az ISP-k (Internet Service Provider) körében elterjedt virtuális magánhálózati megoldás. Ez a protokoll a gerinchálózatot alkotó útválasztókon (router) fut és magas színvonalú szolgáltatásokat nyújt. Ezzel a módszerrel az OSI modell 3. szintjén mûködõ kapcsolatmentes és ezért kiemelkedően jól skálázható IP hálózatokat lehet kialakítani. A VPN végpontjait a megfelelően választott PE-k (Provider Edge router) képezik és a megosztott gerincen keresztül Label Switching segítségével kommunikálnak egymással. A VPN tagjait a CE-khez (Customer Edge router) kapcsolódó eszközök képezik. Az így kialakított VPN tehát nem más, mint egy virtuális router szolgáltatás. Ennek a megvalósításnak az alapvető jellemzői a könnyű konfiguráció, magas fokú felhasználói és hálózati biztonság, dinamikus szomszéd felfedezés, jól skálázhatóság. Ezen protokollcsomag további részleteit a 2917-es és a 2547-es RFC-k tárgyalják. Az egyik legnagyobb gyártó ezen a területen: Alcatel, Cisco, Lucent. Multiprotokoll Label Switching alapú VPN egy menedzselt, IP-alapú virtuális magánhálózati megoldás biztosítja a létfontosságú üzleti információk kezeléséhez szükséges szolgáltatásokat, teljesítményt és biztonságot. Ugyanakkor könnyen bővíthető és jelentős költségmegtakarítással jár a több telephelyet magába foglaló hagyományos vállalati WAN-megoldásokhoz képest. A vállalati kommunikációs hálózatok kialakítása korábban az egyes telephelyeket összekötő magánhálózatok (PN) kiépítésével valósulhatott meg. Így lehetővé vált az adattovábbítás, az adatok teljes körű védelme mellett. A saját infrastruktúra kiépítési költsége mellett azonban (a napi kihasználtságtól függetlenül) a teljes hálózat fenntartása, menedzselése is jelentős költséget jelent. A kommunikációs igények manapság szinte "exponenciális" növekedésével a magánhálózat további, rendkívüli költségeket jelentő bővítése válhat szükségessé, a kellően nagy sávszélesség biztosítása és esetleg újabb telephelyek elérhetőségének megoldása érdekében. Az EuroWeb Rt hálózatán azonban kialakítható olyan felhasználói magánhálózat (VPN), amely az általunk biztosított, ügyfeleink által közösen használt infrastruktúrán működik úgy, hogy teljesíti azon adatbiztonsági, menedzselhetőségi, megbízhatósági, méretezhetőségi, valamint adatátviteli minőséget meghatározó elvárásokat, amelyeket a hagyományos magánhálózatokon (PN) lehet elérni. Az IP-alapú virtuális magánhálózat, más néven VPN létrehozásával a vállalat összekötheti az összes telephelyét. A menedzselt, IP-alapú virtuális magánhálózati megoldás biztosítja a létfontosságú üzleti információk kezeléséhez szükséges szolgáltatásokat, teljesítményt és biztonságot. Ugyanakkor könnyen bővíthető és jelentős költségmegtakarítással jár a több telephelyet magába foglaló hagyományos vállalati WAN-megoldásokhoz képest. Cégünk biztosítja a hozzáféréshez szükséges hardvert, fenntartja a szolgáltatói hálózatot, és felügyeli a szolgáltatást, így ügyfeleink mentesülnek a vállalati magánhálózat tervezési, kivitelezési, fenntartási, valamint fejlesztési gondjai alól és nem kell viselniük ezek tetemes költségeit sem. A szolgáltatás előnyei: Több telephely költséghatékony elérése
VPN szolgáltatásunk költséghatékonyan létesíthető és rugalmasabb, mint a hagyományos, nagy kiterjedésű hálózati megoldások. A VPN hálózat fenntartási költségei is kedvezőbbek, különösen akkor, ha a telephelyek internet hozzáférésének biztosítása is az igények közé tartozik.
Javuló kommunikáció és termelékenység Ügyfelünk dolgozói (függetlenül attól, hogy a vállalat mely telephelyén végzik munkájukat) hozzáférhetnek a vállalati információkhoz, illetve megoszthatják másokkal az adataikat. A hálózati alkalmazások segítségével együttműködhetnek számítógépekkel végzett projekteken és közben teljes biztonságban vannak a nyilvános internet veszélyeivel szemben.
A felhasználók úgy érhetik el a fájlokat és az alkalmazásokat, mintha egy helyi hálózatot használnának. Garantált teljesítmény a szolgáltatási szintekre vonatkozó garanciák biztosítják, hogy ügyfeleink mindig megkapják azt a teljesítményt és megbízhatóságot, amelyet a kiemelkedő fontosságú adatok megkövetelnek. Biztonságos beruházás az EuroVPN szolgáltatáshoz hozzátartozik az összes szükséges hálózati hardver is, így az ügyfelek megszabadulnak a hálózat-felügyelet terhétől. Amikor az igények növekedése nagyobb teljesítményt követel meg, a hálózat zökkenőmentesen átméretezhető. Nagyobb üzleti érték az EuroVPN révén megrendelőink ügyfelei és üzletfelei szabályozott hozzáférést kaphatnak a belső hálózat kiválasztott területeihez. Ennek az "extranetes" képességnek köszönhetően rengeteg olyan új kapcsolat létesíthető, amely kétoldalú előnyökkel jár ügyfeleink, illetve az ő ügyfeleik és üzletfeleik számára is. A szolgáltatás megvalósítása az EuroVPN kialakítása az EuroWeb Rt internet szolgáltatást nyújtó hálózatán történik, s mivel az ügyfeleink adatforgalmát közös infrastruktúrán biztosítjuk, gondoskodunk azok egymástól való elkülönítéséről. Az EuroWeb Rt rendelkezik azzal az országos hálózati infrastruktúrával, amelyre építve meg tudja teremteni minden megrendelő számára a virtuális magánhálózatot. A VPN rendszer létrehozásának alapelve, hogy a felhasználó telephelyei bérelt vonalon, az EuroWeb hálózatának mindig a hozzájuk legközelebbi végpontjához kapcsolódnak. Ez a struktúra jelentősen csökkenti a bérelt vonalak alaphálózati szolgáltatónak fizetendő távolságarányos díjait, valamint közvetlenül tesz lehetővé internet elérést a felhasználó telephelyei számára is, nem terhelve ezzel a központi telephely sávszélességét.
A virtuális magánhálózat esetében kiemelt hangsúlyt kapnak a biztonsági kérdések. Az EuroWeb Rt a Cisco VPN-re optimalizált eszközeire alapozott IP-Security rendszer megvalósításával biztosítja a felhasználó számára a biztonságos (a sérthetetlenségi, bizalmassági és hitelességi követelményeket kielégítő) hálózati adattovábbítást.
A VPN rendszerekben a fizikailag egymástól távol lévő telephelyek virtuális pont-pont kapcsolattal, titkosított adatfolyammal kommunikálnak egymással. Így lehetővé válik egy olyan belső hálózat létrehozása a közösen használt infrastruktúrán, amely a helyi hálózatok biztonságát és kényelmét nyújtja.
Az alkalmazott Cisco Systems IP-Security megoldás hatásos rejtjelzési algoritmusokon alapul, biztonsága széleskörűen bizonyított és nagyfokú támogatottsággal rendelkezik.
A Virtuális Magánhálózat általános topológiája
A szolgáltatás kivitelezése és működtetése
A szolgáltatás részeként cégünk kezeli az összeköttetés létesítésének minden összetevőjét, a bérelt vonal megrendelését és felügyeletét is beleértve.
Az EuroWeb Rt konfigurálja és teszteli az általa biztosított forgalomirányító routert, a kommunikációs berendezéseket és minden más olyan eszközt, amelyet biztosít a szolgáltatás részeként a hozzáférési pontig (a hozzáférési ponton elhelyezett routert is beleértve). Ügyfeleinknek csak azon berendezéseket, szoftvereket és kábeleket kell biztosítania, telepítenie és karbantartania, amelyek számítógépeinek vagy hálózatainak a szolgáltatás hozzáférési ponttal való összekötéséhez szükségesek. A szolgáltatás igénybe vételéhez biztosítjuk ügyfeleink minden telephelyén a megfelelő számú IP címet, valamint a Domain Név bejegyzést és karbantartást is. A kapcsolat megbízhatóságának érdekében minden EuroVPN kapcsolat folyamatos hálózati felügyeletét végezzük.
Üzemeltetés és hálózat monitorozás
Szolgáltatásunk magában foglalja a VPN kialakításához szükséges routerek konfigurálását, távoli felügyeletét, szükség esetén a helyszínen történő javítást. Ezen szolgáltatásokat hivatalos munkaidőn belül nyújtjuk.
Az EuroWeb Rt magas színvonalú HP Openview megfigyelési rendszert alkalmaz. Ez a rendszer periodikusan vizsgálja a szolgáltatói hálózatot. A vizsgált adatokból készülő diagramok mutatják a hálózati kihasználtságot az összes bérelt és trönk vonalra. Ezen diagrammok lekérhetőek akár óránkénti, napi, heti, vagy havi bontásban is. Az EuroWeb Rt folyamatos hálózat-bővítési kapacitással rendelkezik. A feladatra külön tervezői csoportot tartunk fent, amely a vonalkapacitások további bővítését koordinálja a mért hálózat-statisztikai adatok alapján.
A hálózati rendellenességek és hibák azonnal láthatóak az EuroWeb Rt geografikus térképén is. Az év minden napján 24 órás hálózatellenőrzési szolgáltatást tartunk fenn. Ez felügyeli a rendszert, észleli az esetleges hibákat, naplózza ezeket, illetve a hibaelhárítás érdekében a megfelelő lépésekre azonnal felhívja a figyelmet. A jelzések alapján a hálózat-üzemeltetést felügyelő rendszer-adminisztrátorok haladéktalanul megteszik a zavartalan működés fenntartásához szükséges intézkedéseket.
Hibaelhárítás, ügyfélszolgálat
Az EuroWeb Rt napi 24 órás ügyfélszolgálatot biztosít ügyfelei számára. Munkaidőben (8 és 18 óra között) angol nyelvű operátor is rendelkezésre áll.
Az általános munkaidőn kívül, szolgáltatásunk magában foglal egy alap hibaelhárítási telefonos szolgálatot is.
Vállaljuk az azonnali (a bejelentéstől számított 4 órán belüli) hibaelhárítást, amely nem feltétlenül jár a helyszínre történő kiszállással. Állandóan raktáron tartjuk a megfelelő Cisco típusú routereket, így ha a szolgáltatási helyszínen router csere válik szükségessé, az még a hibabejelentés napján megtörténhet.
A szolgáltatás igénybe vételéhez szükséges távközlési szakaszokra a távközlési szolgáltató által nyújtott szolgáltatói garanciákat tudjuk érvényesíteni.
Security / VPN
A Cisco biztonsági megoldásai egyaránt tartalmaznak dedikált hardveren futó, illetve a routerekbe installálható tűzfal-, betörés felismerő- és VPN rendszereket. Továbbá mindezen funkciók központi menedzsmentjére szolgáló szoftvereket.
Cisco Secure PIX hardveres tűzfalak
A Cisco PIX sorozatában minden felhasználói igényhez találhatunk hardveres tűzfalat.
Közös jellemzőik:
• A legkisebbtől a legnagyobb modellig ugyanazt a komplex, de gyors biztonsági algoritmust találhatjuk.
• Mindegyik PIX központilag is menedzselhető a Cisco Secure Policy Manager nevű szoftverrendszerrel.
• Parancssor-vezérelt és grafikus web-alapú menedzsment interfészek.
• SNMP támogatás.
Modellek:
• PIX-501: a legkisebb modell. 10 vagy 50 felhasználós korlátozással kapható.
• PIX-506: egy belső és egy külső interfésszel rendelkezik, nem bővíthető. Alkalmazhatóságának teljesítménye és interfészeinek száma szab határt.
• PIX-515: Rack-be szerelhető 1 unit magas moduláris tűzfal.
• PIX-525: Szintén rack-be szerelhető, de 2 unit magas az 515-ösnél jóval nagyobb teljesítményű berendezés.
• PIX-535: A jelenlegi csúcsmodell. Maximum 10 interfésze lehet, gigabit ethernetet is támogat.
Cisco Secure IOS tűzfal
A Cisco minden routeréhez vásárolhatunk Stateful Inspection tűzfal és számos más biztonsági funkcióval rendelkező IOS-t. A tűzfalas IOS-el rendelkező Cisco routerek a PIX-ekhez hasonlóan központilag is menedzselhetőek a Cisco Secure Policy Manager nevű szoftverrendszerrel.
Cisco Secure ACS (Authentication / Authorization / Accounting)
A Cisco Secure ACS jelenleg az egyik legfejlettebb AAA szoftver. Windows és SUN Solaris platformokra egyaránt kapható.
Legújabb verziója képes a Wireless megoldások biztonságosabbá tételéhez szükséges, dinamikus WEP kulccserét használó EAP autentikációra is. A rendszer egy Syslog szervert is tartalmaz. A felhasználói adatokat saját adatbázisában, Windows NT 4 felhasználói adatbázisban, illetve LDAP szervereken egyaránt tárolhatja.
Cisco Secure Scanner
A hálózat biztonsági réseinek tesztelésére szolgál. Több mint egyszerű port-szkenner. A hálózati eszközöket és a hálózaton levő hosztokat egyaránt képes tesztelni és intelligens jelentéseket képezni, amelyek javítási javaslatokat is tartalmaznak.
Cisco Secure IDS betörésvédelmi rendszerek
Komplett hardver és szoftver elemekből felépülő rendszer. Mind a hardveres, mind a számítógépeken agent-ként működő forgalom-analizátorok képesek:
• Felismerni a betörést (előre definiált jegyek alapján)
• Riasztást küldeni a menedzsment rendszernek
• Azonnal beavatkozni más Cisco eszközök automatikus átkonfigurálásával.
Főbb modelljei:
Hardveres forgalom-analizátorok
• Cisco Secure IDS 4210: 45Mbps-ig képes az adatforgalom elemzésére. Egy menedzsment és egy figyelő 10/100-as ethernet interfésszel rendelkezik.
• Cisco Secure IDS 4230: 100Mbps-ig képes az adatforgalom elemzésére. Egy menedzsment és egy figyelő 10/100-as ethernet interfésszel rendelkezik.
• Cisco Secure Catalyst 6000 IDS Module: Hardveres forgalom-analizátor, amely Cisco Catalyst 6000-es switch-be helyezhető és passzívan figyeli egy vagy több VLAN forgalmát, illetve aktívan beavatkozik VLAN szűrőlisták segítségével támadás esetén.
Agent-ként működő szoftveres forgalom-analizátorok:
A Cisco Secure IDS Host Sensor agent-ek képesek felismerni az MS Windows és SUN Solaris operációs rendszerekre és a rajtuk futó webszerverre irányított alkalmazásokat.
Betörésvédelem menedzsment:
Fenti hardveres és szoftveres rendszerekhez kétféle menedzsment opció közül választhatunk:
• Cisco Secure Policy Manager: Windows alapú szoftver amely grafikus menedzsment felületet és központi adatbázist biztosít IDS alkalmazások, tűzfalak, és VPN csatornák konfigurálására és felügyeletére.
• Cisco IDS Unix Director: Sun Solaris és HP Network Node Managerre épülő unix-os alkalmazás IDS-ek menedzsmentjére.
Cisco VPN 3000 Concentrator és Client sorozat
Teljesítményigénytől függően 4/50/100 Mbps-os 3DES teljesítménnyel bíró koncentrátorok választhatóak akár 10000 egyidejű VPN csatorna támogatással.
Kliens oldalon Movian, Handheld, Microsoft és a Cisco saját hardveres, illetve szoftveres kliensei alkalmazhatóak. Más IPSec, L2TP, PPTP kompatibilis kliensek egyenlőre nem lettek a Cisco által auditálva.
Virtuális magánhálózat: nyilvános hálózaton (például Interneten) keresztül megvalósított, titkosított hálózati kapcsolat..
Virtuális magánhálózat: nyilvános hálózaton (például Interneten) keresztül megvalósított, titkosított hálózati kapcsolat, amellyel az ügyfél számítógépe vagy akár egy teljes fiókirodai hálózat hozzáférhet a központi, belső vállalati intranetre csatlakozó erőforrásokhoz.
Miért jó a VPN?
Ha néhány évvel ezelőtt egy felhasználónak otthonról (vagy bárhonnan máshonnan, a cég területén kívülről) el kellett érnie a vállalati erőforrásokat, szinte gondolkodás nélkül mondtuk a választ: a megoldás egy RAS kiszolgáló telepítése, ahová a dolgozó betárcsázva, a modemes kapcsolaton keresztül szépen hozzáfér mindenhez, amire szüksége lehet. A dolognak mára jó néhány szépséghibája lett:
• A RAS kiszolgálóra telepített modemek, így az egyidejűleg kiszolgálható ügyfelek száma véges
• A hívás díja akár a csillagos égig is emelkedhet, hiszen bárhol is járunk a világban, mindig a céges számot kell hívnunk – külföldről ez bizony nem olcsó mulatság
• A modemek sebessége még akkor is csak 56kbit, ha a kiszolgálóban digitális kártyákkal kapcsolódunk a telefonos hálózathoz. Ez meg sem közelíti a felhasználók számára ma rendelkezésre álló hálózati kapcsolatok (ADSL, kábeltévé, mikró, stb.) sebességét
A virtuális magánhálózat használata, ami nem más, mint egy, az Interneten keresztül kiépített titkosított csatorna, megoldja a problémát. Ha a cég rendelkezik egy állandó, nagy sebességű internetes kapcsolattal, a felhasználók a VPN kiszolgálón keresztül csatlakozhatnak a belső hálózatra.
Ekkor:
• Nincs szükség modemek használatára, a virtuális portok, azaz az egyidejű hozzáférések számát csak az erőforrások korlátozzák (gyakorlatilag azonban csak a céges internetkapcsolat sávszélessége jön szóba, mint korlátozó tényező)
• A felhasználónak nem kell nemzetközi számot tárcsáznia, elég, ha bármelyik internetszolgáltatónál, helyi tarifával csatlakozik a világhálóhoz
• Modemek híján nincs sebességkorlát sem
A VPN másik alkalmazási területe az alhálózatok összekapcsolásához kötődik. Gondoljunk egy cégre, ahol a központi hálózat mellett számos fiókiroda is működik, országszerte. Mit tehetünk, ha a fiókiroda hálózatát szeretnénk valamilyen szinten összekapcsolni a központi hálózattal? Ha megelégedtünk a modemes sebességgel, használhattuk a klasszikus telefonos megoldást. Ha azonban állandó kapcsolatra volt szükség, illetve számított a sebesség, a legjobban tettük, ha bérelt vonali kapcsolatot építettünk ki az irodák között. Mindkét megoldás méregdrága.
Ekkor a központi hálózat folyamatosan elérhető, a VPN kiszolgáló állandó kapcsolattal csatlakozik az Internetre. A fiókiroda internetes kapcsolata lehet állandó vagy időszaki is, az igényektől függően továbbra is megelégedhetünk a modemes kapcsolattal, vagy használhatjuk a fiókiroda nagy sávszélességű hozzáférését. A fiókiroda átjárója pedig igény szerint automatikusan felépíti a VPN kapcsolatot, és elérhetővé teszi a vállalati hálózatot – mindezt gyorsan és olcsón.
VPN protokollok
A nyilvános hálózaton keresztüli biztonságos kommunikáció érdekében a hálózati forgalmat természetesen titkosítani kell. A forgalom titkosítására többféle megoldás, protokoll létezik. A Windows 2000 ügyfelek és kiszolgálók a következő két protokoll használatát támogatják:
• Point-to-Point Tunneling Protocol (PPTP): Az RFC 2637-ben definiált alagútprotokoll, amely MPPE (Microsoft Point-to-Point Encryption) titkosítással működik. A PPTP protokollt a korábbi Windows ügyfelek (Windows 9x-től napjainkig) is támogatják
• Layer 2 Tunneling Protocol (L2TP): Az L2TP protokoll specifikációját az RFC 2661-ben találjuk. Maga az L2TP protokoll saját titkosítást nem tartalmaz, ezért a virtuális magánhálózatot az „L2TP over IPSec”, azaz az IPSec titkosítással segített L2TP kapcsolat valósítja meg. Az L2TP használatát a Windows 2000 és Windows XP kiszolgálók illetve ügyfelek támogatják.
A protokollok részletes bemutatására később visszatérünk.
VPN kiszolgáló a Windows 2000-ben:
Routing and Remote Access Service
A távelérés és útválasztás-szolgáltatás (Routing and Remote Access Service, RRAS) minden Windows 2000 Server beépített szolgáltatása. Telepítés után letiltva marad, mi magunk indíthatjuk el – a szükséges beállítások létrehozása után–, vagy állíthatjuk le azt, de a rendszerből eltávolítani nem lehet. Az RRAS felügyeleti konzolját az Administrative Tools menüben találjuk, nem meglepő módon Routing and Remote Access néven. Az RRAS engedélyezése előtt varázsló segít a szolgáltatás beállításában. A szolgáltatást egyébként kézzel is testre szabhatjuk, de egyelőre fogadjuk el a varázsló segítségét: készítsünk VPN kiszolgálót! Nyissuk meg az RRAS konzolt, kattintsunk jobb gombbal a kiszolgáló nevére, és válasszuk a „Configure and Enable Routing and Remote Access” parancsot!
A varázsló (fenti ábrán is látható) első oldalán válasszuk a Virtual private network (VPN) server opciót. Továbbhaladva ki kell választanunk a VPN ügyfelek által használni kívánt protokollokat (ez lehet a TCP/IP mellett más is, például a NetBEUI, de a Windows kommunikációhoz ma már bőven elég a TCP/IP is).
Az „Internet Connection” oldalon a meglévő hálózati kapcsolatok közül válasszuk ki azt, amellyel a VPN kiszolgáló az Interneten „lóg”. Az RRAS ezen a kapcsolaton keresztül fogadja majd a beérkező VPN kéréseket. Ez után el kell döntenønk, hogy milyen módgn szeretnénc a beérkező ügyfeleknek IP címeket gsztani. Erre két lehetőségünk van:
• DHCP kisznlgáló használatával – ekkor az RRAS szolgáltatás a belső DHCP kaszolgálótól „szerez” IP-címeket.
• Meghatározott címtartományból – ekkor mi magunk határozhatjuk meg a kiosztani kívánt IP-címeket
Bárhonnan is származik a címtartomány, annak első eleme lesz majd a virtuális kiszolgáló IP címe, a többit pedig az RRAS szépen kiosztja majd a beérkező ügyfelek között. Figyeljünk arra, hogy a kiszolgálón legyen beállítva a DNS és a WINS kiszolgálók IP címe is, mert ezeket az információkat az RRAS a bejelentkezés során továbbítja az ügyfelek irányába.
Ez után azt kell eldöntenünk, hogy milyen módon szeretnénk azonosítani a bejelentkező felhasználókat.
Ehhez a beépített Windows-módszer mellett immár a RADIUS protokoll segítségét is hívhatjuk. A RADIUS-ról később még lesz szó, egyelőre itt válasszuk a „No, I don’t want to…” kezdetű sort, magyarul az azonosítást bízzuk a Windowsra. Miután ezzel elkészültünk, a varázsló elindítja az RRAS szolgáltatást. Az alapvető beállításokkal készen is vagyunk, egy híján.
Fontos! Ha az RRAS nem tartományvezérlőn, hanem tagkiszolgálón fut – ami egyébként a javasolt eljárás –, a tartományi felhasználók azonosítása csak akkor működik helyesen, ha a kiszolgálót felvesszük a „RAS and IAS Servers” csoportba. A legtöbb esetben ez automatikusan megtörténik, de mindig nézzünk utána magunk is!
Az RRAS konzol
Miután a szolgáltatás elindult, ismerjük meg az RRAS felügyeleti modul tartalmát!
A „Ports” sorra kattintva láthatjuk, hogy a varázsló 128-128 PPTP és L2TP portot hozott létre. Ez minden bizonnyal elég lesz, de az elérhető portok számát magunk is beállíthatjuk, ha a fában megnyitjuk a „Ports” tulajdonságlapját. Ugyanitt a portokon kettőt kattintva szükség esetén beállíthatjuk, hogy az adott eszközt szeretnénk-e bejövő, illetve kimenő kapcsolatok felépítésére használni. Az alapértelmezés természetesen nekünk teljesen megfelel. A konzolban látszik az is, ha valamelyik port éppen használatban van (Active/Inactive).
Kattintsunk jobb gombbal a kiszolgálóra (itt SERVER (local)), és nyissuk meg a tulajdonságlap IP oldalát!
Itt állítható be, hogy az ügyfelek IP-címe honnan származzon (DHCP vagy meghatározott IP-cím tartomány). Ezt a beállítást már a varázsló megtette helyettünk. Az oldal alján kiválaszthatjuk azt a hálózati csatolót (értelemszerűen azt, amelyik a céges hálózatra, befelé „néz”), amin keresztül az RRAS a DHCP kiszolgálót megszólítja. Az ügyfeleknek küldött DNS és WINS címek is azok lesznek, amelyek az itt kiválasztott hálózati csatolón érvényesek!
Bár a betárcsázó ügyfél automatikusan kap IP-címet, az ő hálózatán található számítógépek is „kérhetnek” a VPN kapcsolaton keresztül. Ehhez meg kell szólítaniuk a vállalati hálózatban található DHCP kiszolgálót, ez azonban csak akkor fog sikerülni, ha az RRAS kiszolgálón futó DHCP Relay Agent segít nekik, és kérésüket továbbítja a kiszolgáló felé.
A DHCP Relay Agent-nek azonban meg kell magyaráznunk, hogy merre találja a DHCP kiszolgálót. Ehhez a konzolfában nyissuk meg a DHCP Relay Agent tulajdonságlapját és adjuk meg a DHCP kiszolgálók IP-címét. Emlékezzünk, hogy a betárcsázó ügyfél mindenképpen kap IP címet, a Relay Agent használatára csak akkor van szükség, ha a csatlakoztatott hálózaton belülről valaki más is szeretne IP-címhez jutni.
Ügyfél-kiszolgáló VPN kapcsolat létrehozása
A virtuális magánhálózathoz való csatlakozásban segít nekünk az Internet Connection Wizard varázsló. Ezt a vezérlőpultból, a Network Connections ablakon belül taláható Create (Make) New Connection ikon segítségével csalogathatjuk elő.
A csatlakozás típusánál válasszuk ki a VPN-re utaló opciót (Windows 2000-nél „Connect to a private network…”, XP-nél „Connect to the network at my workspace”). XP esetén a következő oldalon még arról is nyilatkoznunk kell, hogy modemes vagy VPN kapcsolaton keresztül szeretnénk csatlakozni. A VPN csatorna kialakításához meglévő Internet-kapcsolatra van szükség. Ez a kapcsolat lehet állandó, de használhatunk klasszikus modemes, betárcsázós kapcsolatot is.
Ezt még kényelmesebbé tehetjük, ha a VPN kapcsolatnak is beállítjuk, hogy melyik – másik – kapcsolat segítségével hozhatja létre a kapcsolatot az Internet-szolgáltatóval.
Ha ezt megadjuk, a Windows szükség esetén tárcsázza majd az Internet-szolgáltatót, és a felépült kapcsolaton keresztül fogja felépíteni majd a VPN kapcsolatot. Ezután meg kell adnunk a VPN kiszolgáló IP-címét (mint egy „telefonszámot”), és már készen is vagyunk.
Csatlakozás a VPN kiszolgálóhoz
Ha megnyitjuk a létrehozott csatlakozási ikon tulajdonságlapját, viszontlátjuk a varázslóban megadott beállításokat. Kattintsunk a Networking oldalra!
Látható, hogy a VPN kapcsolat típusa „Automatic”. Választhatnánk kifejezetten a PPTP vagy az L2TP használatát is, de első körben érdemesebb az automatikus üzemmódnál maradni. Ilyenkor a számítógépek először megpróbálkoznak az L2TP kapcsolat kialakításával, és ha az nem sikerül, végső esélyként megpróbálkoznak a PPTP-vel.
Ha ezzel a beállítással csatlakoznánk a VPN kiszolgálóhoz, a sikeres csatlakozás után minden hálózati forgalom (ideértve például az internetes böngészést is) a VPN kapcsolaton keresztül igyekezne az Internet felé, ugyanis a csatlakozás pillanatában az alapértelmezett átjáró a VPN kiszolgáló lesz. Ha ezt szeretnénk elkerülni, a VPN kapcsolat tulajdonságlapjának fent is látható Networking oldalán válasszuk ki az Internet Protocol (TCP/IP)-t és kattintsunk a Properties, az erre megjelenő dialógusablakban pedig az Advanced… gombra. Ekkor a következő ablakot látjuk:
Ha eltüntetjük a pipát a „Use default gateway on remote network” sor elől, a következő csatlakozáskor az alapértelmezett átjáró marad az, ami volt: az Internet-szolgáltatóé. Ilyenkor a VPN kapcsolat felé csak az a forgalom halad majd, ami kifejezetten oda való.
Ezt ellenőrizhetjük is a route print parancs kiadásával.
Miután ezzel is elkészültünk, itt az ideje, hogy csatlakozzunk végre a kiszolgálóhoz. Kattintsunk duplán a csatlakozás ikonjára vagy válasszuk a Connect parancsot! Adjunk meg egy bejelentkezésre jogosult felhasználónevet és jelszót, és kattintsunk az OK gombra. A kapcsolat néhány másodperc alatt létrejön.
Ha létrejött kapcsolaton a Status parancsot választjuk, megjelenik a fent látható dialógusablak. Itt láthatjuk többek között a saját és a kiszolgáló IP-címét és a titkosítás típusát is.
Ha a titkosítás típusa MPPE – akkor a VPN kapcsolat PPTP IPSec – akkor a VPN kapcsolat L2TP protokollon keresztül jött létre. Az ábrán a bal oldali (XP) PPTP, míg a jobb oldali (W2K Pro) L2TP kapcsolatot épített fel, de ez természetesen nem az operációs rendszer típusától függ. Ne ijedjünk meg, ha elsőre nem épül fel az L2TP kapcsolat, ez az IPSec miatt még további beállításokat is igényel. Elégedjünk meg egyelőre a PPTP-vel, ami bár „gyengébb” titkosítást alkalmaz, mint az IPSec, de azért jóval több, mint a semmi.
A virtuális magánhálózat (továbbiakban VPN) olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy szervezet által kizárólag saját céljaira kialakított és fenntartott, továbbiakban privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet), amelyben nem bíznak meg.
A biztonsági megoldások gyártónként eltérőek, de a legtöbb biztonsági szakértő egyetért abban, hogy a VPN az adatátvitel során alkalmaz valamiféle kódolást (encryption) , és a szolgáltatást a gép vagy felhasználó csak egy erős azonosítási mechanizmus (authentication) sikeressége után veheti igénybe, valamint a megoldás törekszik elrejteni a privát hálózat belső topológiáját a potencionális külső támadóktól.
Egy VPN kialakítása leegyszerűsítve úgy néz ki, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat (security gateway) helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton. Ha a kriptográfia elég erős, a megvalósítás elég körültekintő és az adminisztrációt hozzáértő ember végzi, akkor a résztvevők bátran bízhatnak ebben a csatornában. Ettől fogva az ilyen hálózatrészek úgy viselkednek, mintha egyetlen hatalmas privát hálózatot képeznének.
A VPN alapértelmezésben bizonyos hálózatrészek összekapcsolását jelenti. Ennek speciális esete, amikor nem, vagy nem csak hálózatrészeket kapcsolunk össze, hanem hálózatrészt, vagy részeket egy konkrét géppel. A "Road Warrior" (utcai harcos) tipikusan olyan utazó, aki laptopról kapcsolódik a privát hálózatba. Adminisztratív szempontból ez megegyezik azzal az esettel, amikor valaki otthoni gépéről próbál bejutni az irodai hálózatba úgy, hogy nem rendelkezik fix IP címmel. VPN alaptípusok, előnyeik és hátrányaik a következők; Habár napjainkban a VPN megoldások egyre szaporodnak, ezért elég nehéz őket kategorizálni, de alapvetően háromféle VPN típus létezik:
Hardware közeli megoldások tulajdonképpen olyan router-ek alkalmazását jelenti, amelyek képesek az adatforgalom titkosítására. Használatuk egyszerű, mivel ez a megoldás áll a legközelebb a 'plug and play' titkosítás megvalósításához. A legmagasabb fokú hálózati áteresztőképességet (throughput) nyújtják az összes többi megoldással szemben, hiszen nem emésztenek fel fölösleges erőforrásokat plusz operációs rendszer és segédalkalmazások kiszolgálására. Mindezen jó tulajdonságaik ellenére korántsem olyan rugalmasak, mint például a software alapú megoldások, éppen ezért a legjobb hardware alapú VPN rendszerek a hozzáférés vezérlés egy részét átengedik, vagy megosztják más korlátozó eszközökkel, mint amilyen a tűzfal (firewall). A legnagyobb gyártók, akik ilyen jellegű megoldásokkal szolgálnak: Cisco, Ascend (Lucent), Bay Networks, 3Com, SMC
A tűzfal alapú megoldások kihasználják a tűzfalak biztonsági mechanizmusának előnyeit, mint például a hozzáférés korlátozását bizonyos hálózatrészek között, a címfordítást (NAT : Network Address Translation), megfelelő azonosítási mechanizmusok, kiterjedt (extensive) logolás, valós idejű riasztás. A legtöbb üzleti célú tűzfal alkalmazás operációs rendszerében a kernelbe való beavatkozásokkal (patch) is fokozzák a biztonsági szintet. A VPN szerverek általában a tűzfalakhoz hasonlóan lecsupaszított kiszolgálók, amiken lehetőség szerint semmilyen más alkalmazás nem fut, csak a célhoz szükséges eszközök, a minél kisebb támadási felület mutatása érdekében. Fontos figyelembe venni a VPN teljesítményre gyakorolt csökkentő hatását (főként egy meglévő, amúgy is terhelt tűzfalon veszélyes lehet), habár a legtöbb gyártó itt is célhardver elemeket kínál az általános processzorokon nagy teljesítményt igénylő alkalmazásokhoz, mint amilyen maga a titkosítás. A legnagyobb gyártók, akik ilyen jellegű megoldásokkal szolgálnak: Borderware, Ashley Laurent, Watchguard, Injoy Software közeli megoldások abban az esetben ideálisak, ha a VPN egy-egy határvonala más-más szervezet tulajdonában van (tipikusan terméktámogatás, vagy üzletféli kapcsolatok esetén), vagy abban az esetben, ha ugyanaz a tulajdonos, de eltérő a használt eszközök típusa a szervezeten belül. Manapság a VPN menedzselésére a legrugalmasabb megoldásokat a software alapú termékek nyújtják. A legtöbb ilyen programcsomag lehetőséget ad a csomagok címzés, vagy protokoll szerinti tunnelingjére (a csomagok újracsomagolódnak egy PPP szekvenciába és így jutnak el a célhoz, ahol a fogadó visszabontja), ellentétben a hardware alapú megoldásokkal, amelyek általában a protokollra való tekintet nélkül minden forgalmat tunelleznek. Ez a tulajdonság hasznos lehet abban az esetben, ha a távoli gépeknek kétféle minőségű adattal kell dolgozniuk, olyanokkal amelyeket a VPN-en keresztül kell küldeniük (pl adatbázis bejegyzések a főnökségnek) és olyanokkal, amelyeket nem (web böngészés). Előny még, hogy jól skálázható, hátrány viszont, hogy több háttértudás szükséges a beállításához, mint amilyen a kiszolgáló operációs rendszer széles körű ismerete. Az operációs rendszerek túlnyomó része pedig ma már önmagában is ad valamilyen szintű támogatást. Ezek az operációs rendszerek a következők (a nevezett verziótól kezdve, újabb verzió esetén valószínűleg szintén tartalmaznak támogatást): Microsoft Windows 2000, Apple Mac OS X, IBM OS390, Sun Solaris 8, HP Unix, Linux + FreeSwan, *BSD + Kame. Természetesen az idő előre haladtával a fent említett határvonalak is egyre inkább elmosódnak, hiszen a hardware gyártók is adnak software-eket, hogy minél rugalmasabbá tegyék termékeiket, illetve a software megoldást kínálók is igyekeznek bevonni speciális hardware elemeket a teljesítmény növelése érdekében. Az IPSec szabvány bevezetése is segíti ezen eszközök vegyes alkalmazását.
VPN kialakítására alkalmas protokollok, szabványok a továbbiakban a VPN megvalósítására mutatok néhány módszert, melyek közül különös hangsúlyt fektetek az IPSec-re, mivel manapság ez a leginkább elterjedt és elfogadott módja egy ilyen feladat megoldásának. Az egyéb lehetőségeket csak bemutató jelleggel ismertetem, történelmi, vagy egyéb jelentőségük miatt PPTP A Point to Point Tunneling Protocol eredetileg az Ascend Communications, 3Com, ECI Telematics, U.S. Robotics és a Microsoft által fejlesztett szabványról van szó. Az alapvető cél az volt, hogy nem TCP/IP-t, mint amilyen az IPX át lehessen vinni az Interneten keresztül GRE (Generic Routing Encapsulation) segítségével. A specifikáció elég általános, így megenged szinte bármilyen titkosítási és azonosítási eljárást. Megjegyzendő, hogy ezek kezdetben nem voltak részei a szabványnak, hanem később kerültek alkalmazásra. Több gyártó is készített PPTP-re terméket, de jellemzően Microsoft verziója terjedt el. Így ebben a részben a továbbiakban írt dolgok specifikusak erre a verzióra. • PPTP szerver NT 4.0 vagy újabb verzió PPTP kliens WFW, Win 95 vagy újabb, Macintosh (más gyártó termékével együtt)
Ezt a szabványt VPN megoldásban alkalmazni nem ajánlott, mivel több sarkalatos ponton sem felel meg az elvárásoknak: • Az azonosítás a windows domain biztonsági rendszerére korlátozódik
• Gyenge titkosítási módszerek a kulcsok nem véletlenszerűek a kulcsok túl rövidek, és nem is növelhetőek ezért jelszavak a hash kódból könnyen visszafejthetőek A jelszókezelés a vegyes környezetben nem körültekintően van megoldva a statikus jelszavak könnyen kompromittálhatóak
• A szerver is túlságosan sebezhető átejthető (például spoofing), mivel a csomag azonosítás nincs megvalósítva könnyen lebéníthatóak a szolgáltatások (DOS : Denial of Services) A Microsoft később elismerte a rendszer gyengeségét, és többször is adott ki javításokat az MSCHAP-hoz, de végül is nem sikerült hatékonyan megfoltozni a rendszert, ezért az újabb Windows verziókban már a Microsoft is az IPSec-et ajánlja az L2TP-n belül. A tunneling és titkosítás általában egy PPP tunnelt titkosítanak. Ilyen megvalósítás például a Zebedee, amely Zlib tömörítést, Blowfish titkosítást és a Diffie-Hellman kulcscserélő protokollt alkalmazza. Megvalósítható továbbá SSH kapcsolatba csomagolt PPP szekvenciákkal is. Ezeknek a megoldásoknak az az előnye, hogy meglévő software komponensekből kiépíthetőek, akár a kernel módosítása nélkül, konfiguráció nem, vagy csak alig szükséges és a működés érdekében a lehető legkisebb mértékben veszik igénybe az erőforrásokat. A védelem szintje alacsonyabb, mivel általában nem támogatják az automatikus kulcsú titkosítást, továbbá nem kompatibilisek más VPN megoldásokkal, mivel egyedi szabványokon alapulnak
Az MPLS VPN, azaz a Multiprotokoll Label Switching VPN különösen az ISP-k (Internet Service Provider) körében elterjedt virtuális magánhálózati megoldás. Ez a protokoll a gerinchálózatot alkotó útválasztókon (router) fut és magas színvonalú szolgáltatásokat nyújt. Ezzel a módszerrel az OSI modell 3. szintjén mûködõ kapcsolatmentes és ezért kiemelkedően jól skálázható IP hálózatokat lehet kialakítani. A VPN végpontjait a megfelelően választott PE-k (Provider Edge router) képezik és a megosztott gerincen keresztül Label Switching segítségével kommunikálnak egymással. A VPN tagjait a CE-khez (Customer Edge router) kapcsolódó eszközök képezik. Az így kialakított VPN tehát nem más, mint egy virtuális router szolgáltatás. Ennek a megvalósításnak az alapvető jellemzői a könnyű konfiguráció, magas fokú felhasználói és hálózati biztonság, dinamikus szomszéd felfedezés, jól skálázhatóság. Ezen protokollcsomag további részleteit a 2917-es és a 2547-es RFC-k tárgyalják. Az egyik legnagyobb gyártó ezen a területen: Alcatel, Cisco, Lucent. Multiprotokoll Label Switching alapú VPN egy menedzselt, IP-alapú virtuális magánhálózati megoldás biztosítja a létfontosságú üzleti információk kezeléséhez szükséges szolgáltatásokat, teljesítményt és biztonságot. Ugyanakkor könnyen bővíthető és jelentős költségmegtakarítással jár a több telephelyet magába foglaló hagyományos vállalati WAN-megoldásokhoz képest. A vállalati kommunikációs hálózatok kialakítása korábban az egyes telephelyeket összekötő magánhálózatok (PN) kiépítésével valósulhatott meg. Így lehetővé vált az adattovábbítás, az adatok teljes körű védelme mellett. A saját infrastruktúra kiépítési költsége mellett azonban (a napi kihasználtságtól függetlenül) a teljes hálózat fenntartása, menedzselése is jelentős költséget jelent. A kommunikációs igények manapság szinte "exponenciális" növekedésével a magánhálózat további, rendkívüli költségeket jelentő bővítése válhat szükségessé, a kellően nagy sávszélesség biztosítása és esetleg újabb telephelyek elérhetőségének megoldása érdekében. Az EuroWeb Rt hálózatán azonban kialakítható olyan felhasználói magánhálózat (VPN), amely az általunk biztosított, ügyfeleink által közösen használt infrastruktúrán működik úgy, hogy teljesíti azon adatbiztonsági, menedzselhetőségi, megbízhatósági, méretezhetőségi, valamint adatátviteli minőséget meghatározó elvárásokat, amelyeket a hagyományos magánhálózatokon (PN) lehet elérni. Az IP-alapú virtuális magánhálózat, más néven VPN létrehozásával a vállalat összekötheti az összes telephelyét. A menedzselt, IP-alapú virtuális magánhálózati megoldás biztosítja a létfontosságú üzleti információk kezeléséhez szükséges szolgáltatásokat, teljesítményt és biztonságot. Ugyanakkor könnyen bővíthető és jelentős költségmegtakarítással jár a több telephelyet magába foglaló hagyományos vállalati WAN-megoldásokhoz képest. Cégünk biztosítja a hozzáféréshez szükséges hardvert, fenntartja a szolgáltatói hálózatot, és felügyeli a szolgáltatást, így ügyfeleink mentesülnek a vállalati magánhálózat tervezési, kivitelezési, fenntartási, valamint fejlesztési gondjai alól és nem kell viselniük ezek tetemes költségeit sem. A szolgáltatás előnyei: Több telephely költséghatékony elérése
VPN szolgáltatásunk költséghatékonyan létesíthető és rugalmasabb, mint a hagyományos, nagy kiterjedésű hálózati megoldások. A VPN hálózat fenntartási költségei is kedvezőbbek, különösen akkor, ha a telephelyek internet hozzáférésének biztosítása is az igények közé tartozik.
Javuló kommunikáció és termelékenység Ügyfelünk dolgozói (függetlenül attól, hogy a vállalat mely telephelyén végzik munkájukat) hozzáférhetnek a vállalati információkhoz, illetve megoszthatják másokkal az adataikat. A hálózati alkalmazások segítségével együttműködhetnek számítógépekkel végzett projekteken és közben teljes biztonságban vannak a nyilvános internet veszélyeivel szemben.
A felhasználók úgy érhetik el a fájlokat és az alkalmazásokat, mintha egy helyi hálózatot használnának. Garantált teljesítmény a szolgáltatási szintekre vonatkozó garanciák biztosítják, hogy ügyfeleink mindig megkapják azt a teljesítményt és megbízhatóságot, amelyet a kiemelkedő fontosságú adatok megkövetelnek. Biztonságos beruházás az EuroVPN szolgáltatáshoz hozzátartozik az összes szükséges hálózati hardver is, így az ügyfelek megszabadulnak a hálózat-felügyelet terhétől. Amikor az igények növekedése nagyobb teljesítményt követel meg, a hálózat zökkenőmentesen átméretezhető. Nagyobb üzleti érték az EuroVPN révén megrendelőink ügyfelei és üzletfelei szabályozott hozzáférést kaphatnak a belső hálózat kiválasztott területeihez. Ennek az "extranetes" képességnek köszönhetően rengeteg olyan új kapcsolat létesíthető, amely kétoldalú előnyökkel jár ügyfeleink, illetve az ő ügyfeleik és üzletfeleik számára is. A szolgáltatás megvalósítása az EuroVPN kialakítása az EuroWeb Rt internet szolgáltatást nyújtó hálózatán történik, s mivel az ügyfeleink adatforgalmát közös infrastruktúrán biztosítjuk, gondoskodunk azok egymástól való elkülönítéséről. Az EuroWeb Rt rendelkezik azzal az országos hálózati infrastruktúrával, amelyre építve meg tudja teremteni minden megrendelő számára a virtuális magánhálózatot. A VPN rendszer létrehozásának alapelve, hogy a felhasználó telephelyei bérelt vonalon, az EuroWeb hálózatának mindig a hozzájuk legközelebbi végpontjához kapcsolódnak. Ez a struktúra jelentősen csökkenti a bérelt vonalak alaphálózati szolgáltatónak fizetendő távolságarányos díjait, valamint közvetlenül tesz lehetővé internet elérést a felhasználó telephelyei számára is, nem terhelve ezzel a központi telephely sávszélességét.
A virtuális magánhálózat esetében kiemelt hangsúlyt kapnak a biztonsági kérdések. Az EuroWeb Rt a Cisco VPN-re optimalizált eszközeire alapozott IP-Security rendszer megvalósításával biztosítja a felhasználó számára a biztonságos (a sérthetetlenségi, bizalmassági és hitelességi követelményeket kielégítő) hálózati adattovábbítást.
A VPN rendszerekben a fizikailag egymástól távol lévő telephelyek virtuális pont-pont kapcsolattal, titkosított adatfolyammal kommunikálnak egymással. Így lehetővé válik egy olyan belső hálózat létrehozása a közösen használt infrastruktúrán, amely a helyi hálózatok biztonságát és kényelmét nyújtja.
Az alkalmazott Cisco Systems IP-Security megoldás hatásos rejtjelzési algoritmusokon alapul, biztonsága széleskörűen bizonyított és nagyfokú támogatottsággal rendelkezik.
A Virtuális Magánhálózat általános topológiája
A szolgáltatás kivitelezése és működtetése
A szolgáltatás részeként cégünk kezeli az összeköttetés létesítésének minden összetevőjét, a bérelt vonal megrendelését és felügyeletét is beleértve.
Az EuroWeb Rt konfigurálja és teszteli az általa biztosított forgalomirányító routert, a kommunikációs berendezéseket és minden más olyan eszközt, amelyet biztosít a szolgáltatás részeként a hozzáférési pontig (a hozzáférési ponton elhelyezett routert is beleértve). Ügyfeleinknek csak azon berendezéseket, szoftvereket és kábeleket kell biztosítania, telepítenie és karbantartania, amelyek számítógépeinek vagy hálózatainak a szolgáltatás hozzáférési ponttal való összekötéséhez szükségesek. A szolgáltatás igénybe vételéhez biztosítjuk ügyfeleink minden telephelyén a megfelelő számú IP címet, valamint a Domain Név bejegyzést és karbantartást is. A kapcsolat megbízhatóságának érdekében minden EuroVPN kapcsolat folyamatos hálózati felügyeletét végezzük.
Üzemeltetés és hálózat monitorozás
Szolgáltatásunk magában foglalja a VPN kialakításához szükséges routerek konfigurálását, távoli felügyeletét, szükség esetén a helyszínen történő javítást. Ezen szolgáltatásokat hivatalos munkaidőn belül nyújtjuk.
Az EuroWeb Rt magas színvonalú HP Openview megfigyelési rendszert alkalmaz. Ez a rendszer periodikusan vizsgálja a szolgáltatói hálózatot. A vizsgált adatokból készülő diagramok mutatják a hálózati kihasználtságot az összes bérelt és trönk vonalra. Ezen diagrammok lekérhetőek akár óránkénti, napi, heti, vagy havi bontásban is. Az EuroWeb Rt folyamatos hálózat-bővítési kapacitással rendelkezik. A feladatra külön tervezői csoportot tartunk fent, amely a vonalkapacitások további bővítését koordinálja a mért hálózat-statisztikai adatok alapján.
A hálózati rendellenességek és hibák azonnal láthatóak az EuroWeb Rt geografikus térképén is. Az év minden napján 24 órás hálózatellenőrzési szolgáltatást tartunk fenn. Ez felügyeli a rendszert, észleli az esetleges hibákat, naplózza ezeket, illetve a hibaelhárítás érdekében a megfelelő lépésekre azonnal felhívja a figyelmet. A jelzések alapján a hálózat-üzemeltetést felügyelő rendszer-adminisztrátorok haladéktalanul megteszik a zavartalan működés fenntartásához szükséges intézkedéseket.
Hibaelhárítás, ügyfélszolgálat
Az EuroWeb Rt napi 24 órás ügyfélszolgálatot biztosít ügyfelei számára. Munkaidőben (8 és 18 óra között) angol nyelvű operátor is rendelkezésre áll.
Az általános munkaidőn kívül, szolgáltatásunk magában foglal egy alap hibaelhárítási telefonos szolgálatot is.
Vállaljuk az azonnali (a bejelentéstől számított 4 órán belüli) hibaelhárítást, amely nem feltétlenül jár a helyszínre történő kiszállással. Állandóan raktáron tartjuk a megfelelő Cisco típusú routereket, így ha a szolgáltatási helyszínen router csere válik szükségessé, az még a hibabejelentés napján megtörténhet.
A szolgáltatás igénybe vételéhez szükséges távközlési szakaszokra a távközlési szolgáltató által nyújtott szolgáltatói garanciákat tudjuk érvényesíteni.
Security / VPN
A Cisco biztonsági megoldásai egyaránt tartalmaznak dedikált hardveren futó, illetve a routerekbe installálható tűzfal-, betörés felismerő- és VPN rendszereket. Továbbá mindezen funkciók központi menedzsmentjére szolgáló szoftvereket.
Cisco Secure PIX hardveres tűzfalak
A Cisco PIX sorozatában minden felhasználói igényhez találhatunk hardveres tűzfalat.
Közös jellemzőik:
• A legkisebbtől a legnagyobb modellig ugyanazt a komplex, de gyors biztonsági algoritmust találhatjuk.
• Mindegyik PIX központilag is menedzselhető a Cisco Secure Policy Manager nevű szoftverrendszerrel.
• Parancssor-vezérelt és grafikus web-alapú menedzsment interfészek.
• SNMP támogatás.
Modellek:
• PIX-501: a legkisebb modell. 10 vagy 50 felhasználós korlátozással kapható.
• PIX-506: egy belső és egy külső interfésszel rendelkezik, nem bővíthető. Alkalmazhatóságának teljesítménye és interfészeinek száma szab határt.
• PIX-515: Rack-be szerelhető 1 unit magas moduláris tűzfal.
• PIX-525: Szintén rack-be szerelhető, de 2 unit magas az 515-ösnél jóval nagyobb teljesítményű berendezés.
• PIX-535: A jelenlegi csúcsmodell. Maximum 10 interfésze lehet, gigabit ethernetet is támogat.
Cisco Secure IOS tűzfal
A Cisco minden routeréhez vásárolhatunk Stateful Inspection tűzfal és számos más biztonsági funkcióval rendelkező IOS-t. A tűzfalas IOS-el rendelkező Cisco routerek a PIX-ekhez hasonlóan központilag is menedzselhetőek a Cisco Secure Policy Manager nevű szoftverrendszerrel.
Cisco Secure ACS (Authentication / Authorization / Accounting)
A Cisco Secure ACS jelenleg az egyik legfejlettebb AAA szoftver. Windows és SUN Solaris platformokra egyaránt kapható.
Legújabb verziója képes a Wireless megoldások biztonságosabbá tételéhez szükséges, dinamikus WEP kulccserét használó EAP autentikációra is. A rendszer egy Syslog szervert is tartalmaz. A felhasználói adatokat saját adatbázisában, Windows NT 4 felhasználói adatbázisban, illetve LDAP szervereken egyaránt tárolhatja.
Cisco Secure Scanner
A hálózat biztonsági réseinek tesztelésére szolgál. Több mint egyszerű port-szkenner. A hálózati eszközöket és a hálózaton levő hosztokat egyaránt képes tesztelni és intelligens jelentéseket képezni, amelyek javítási javaslatokat is tartalmaznak.
Cisco Secure IDS betörésvédelmi rendszerek
Komplett hardver és szoftver elemekből felépülő rendszer. Mind a hardveres, mind a számítógépeken agent-ként működő forgalom-analizátorok képesek:
• Felismerni a betörést (előre definiált jegyek alapján)
• Riasztást küldeni a menedzsment rendszernek
• Azonnal beavatkozni más Cisco eszközök automatikus átkonfigurálásával.
Főbb modelljei:
Hardveres forgalom-analizátorok
• Cisco Secure IDS 4210: 45Mbps-ig képes az adatforgalom elemzésére. Egy menedzsment és egy figyelő 10/100-as ethernet interfésszel rendelkezik.
• Cisco Secure IDS 4230: 100Mbps-ig képes az adatforgalom elemzésére. Egy menedzsment és egy figyelő 10/100-as ethernet interfésszel rendelkezik.
• Cisco Secure Catalyst 6000 IDS Module: Hardveres forgalom-analizátor, amely Cisco Catalyst 6000-es switch-be helyezhető és passzívan figyeli egy vagy több VLAN forgalmát, illetve aktívan beavatkozik VLAN szűrőlisták segítségével támadás esetén.
Agent-ként működő szoftveres forgalom-analizátorok:
A Cisco Secure IDS Host Sensor agent-ek képesek felismerni az MS Windows és SUN Solaris operációs rendszerekre és a rajtuk futó webszerverre irányított alkalmazásokat.
Betörésvédelem menedzsment:
Fenti hardveres és szoftveres rendszerekhez kétféle menedzsment opció közül választhatunk:
• Cisco Secure Policy Manager: Windows alapú szoftver amely grafikus menedzsment felületet és központi adatbázist biztosít IDS alkalmazások, tűzfalak, és VPN csatornák konfigurálására és felügyeletére.
• Cisco IDS Unix Director: Sun Solaris és HP Network Node Managerre épülő unix-os alkalmazás IDS-ek menedzsmentjére.
Cisco VPN 3000 Concentrator és Client sorozat
Teljesítményigénytől függően 4/50/100 Mbps-os 3DES teljesítménnyel bíró koncentrátorok választhatóak akár 10000 egyidejű VPN csatorna támogatással.
Kliens oldalon Movian, Handheld, Microsoft és a Cisco saját hardveres, illetve szoftveres kliensei alkalmazhatóak. Más IPSec, L2TP, PPTP kompatibilis kliensek egyenlőre nem lettek a Cisco által auditálva.
Virtuális magánhálózat: nyilvános hálózaton (például Interneten) keresztül megvalósított, titkosított hálózati kapcsolat..
Virtuális magánhálózat: nyilvános hálózaton (például Interneten) keresztül megvalósított, titkosított hálózati kapcsolat, amellyel az ügyfél számítógépe vagy akár egy teljes fiókirodai hálózat hozzáférhet a központi, belső vállalati intranetre csatlakozó erőforrásokhoz.
Miért jó a VPN?
Ha néhány évvel ezelőtt egy felhasználónak otthonról (vagy bárhonnan máshonnan, a cég területén kívülről) el kellett érnie a vállalati erőforrásokat, szinte gondolkodás nélkül mondtuk a választ: a megoldás egy RAS kiszolgáló telepítése, ahová a dolgozó betárcsázva, a modemes kapcsolaton keresztül szépen hozzáfér mindenhez, amire szüksége lehet. A dolognak mára jó néhány szépséghibája lett:
• A RAS kiszolgálóra telepített modemek, így az egyidejűleg kiszolgálható ügyfelek száma véges
• A hívás díja akár a csillagos égig is emelkedhet, hiszen bárhol is járunk a világban, mindig a céges számot kell hívnunk – külföldről ez bizony nem olcsó mulatság
• A modemek sebessége még akkor is csak 56kbit, ha a kiszolgálóban digitális kártyákkal kapcsolódunk a telefonos hálózathoz. Ez meg sem közelíti a felhasználók számára ma rendelkezésre álló hálózati kapcsolatok (ADSL, kábeltévé, mikró, stb.) sebességét
A virtuális magánhálózat használata, ami nem más, mint egy, az Interneten keresztül kiépített titkosított csatorna, megoldja a problémát. Ha a cég rendelkezik egy állandó, nagy sebességű internetes kapcsolattal, a felhasználók a VPN kiszolgálón keresztül csatlakozhatnak a belső hálózatra.
Ekkor:
• Nincs szükség modemek használatára, a virtuális portok, azaz az egyidejű hozzáférések számát csak az erőforrások korlátozzák (gyakorlatilag azonban csak a céges internetkapcsolat sávszélessége jön szóba, mint korlátozó tényező)
• A felhasználónak nem kell nemzetközi számot tárcsáznia, elég, ha bármelyik internetszolgáltatónál, helyi tarifával csatlakozik a világhálóhoz
• Modemek híján nincs sebességkorlát sem
A VPN másik alkalmazási területe az alhálózatok összekapcsolásához kötődik. Gondoljunk egy cégre, ahol a központi hálózat mellett számos fiókiroda is működik, országszerte. Mit tehetünk, ha a fiókiroda hálózatát szeretnénk valamilyen szinten összekapcsolni a központi hálózattal? Ha megelégedtünk a modemes sebességgel, használhattuk a klasszikus telefonos megoldást. Ha azonban állandó kapcsolatra volt szükség, illetve számított a sebesség, a legjobban tettük, ha bérelt vonali kapcsolatot építettünk ki az irodák között. Mindkét megoldás méregdrága.
Ekkor a központi hálózat folyamatosan elérhető, a VPN kiszolgáló állandó kapcsolattal csatlakozik az Internetre. A fiókiroda internetes kapcsolata lehet állandó vagy időszaki is, az igényektől függően továbbra is megelégedhetünk a modemes kapcsolattal, vagy használhatjuk a fiókiroda nagy sávszélességű hozzáférését. A fiókiroda átjárója pedig igény szerint automatikusan felépíti a VPN kapcsolatot, és elérhetővé teszi a vállalati hálózatot – mindezt gyorsan és olcsón.
VPN protokollok
A nyilvános hálózaton keresztüli biztonságos kommunikáció érdekében a hálózati forgalmat természetesen titkosítani kell. A forgalom titkosítására többféle megoldás, protokoll létezik. A Windows 2000 ügyfelek és kiszolgálók a következő két protokoll használatát támogatják:
• Point-to-Point Tunneling Protocol (PPTP): Az RFC 2637-ben definiált alagútprotokoll, amely MPPE (Microsoft Point-to-Point Encryption) titkosítással működik. A PPTP protokollt a korábbi Windows ügyfelek (Windows 9x-től napjainkig) is támogatják
• Layer 2 Tunneling Protocol (L2TP): Az L2TP protokoll specifikációját az RFC 2661-ben találjuk. Maga az L2TP protokoll saját titkosítást nem tartalmaz, ezért a virtuális magánhálózatot az „L2TP over IPSec”, azaz az IPSec titkosítással segített L2TP kapcsolat valósítja meg. Az L2TP használatát a Windows 2000 és Windows XP kiszolgálók illetve ügyfelek támogatják.
A protokollok részletes bemutatására később visszatérünk.
VPN kiszolgáló a Windows 2000-ben:
Routing and Remote Access Service
A távelérés és útválasztás-szolgáltatás (Routing and Remote Access Service, RRAS) minden Windows 2000 Server beépített szolgáltatása. Telepítés után letiltva marad, mi magunk indíthatjuk el – a szükséges beállítások létrehozása után–, vagy állíthatjuk le azt, de a rendszerből eltávolítani nem lehet. Az RRAS felügyeleti konzolját az Administrative Tools menüben találjuk, nem meglepő módon Routing and Remote Access néven. Az RRAS engedélyezése előtt varázsló segít a szolgáltatás beállításában. A szolgáltatást egyébként kézzel is testre szabhatjuk, de egyelőre fogadjuk el a varázsló segítségét: készítsünk VPN kiszolgálót! Nyissuk meg az RRAS konzolt, kattintsunk jobb gombbal a kiszolgáló nevére, és válasszuk a „Configure and Enable Routing and Remote Access” parancsot!
A varázsló (fenti ábrán is látható) első oldalán válasszuk a Virtual private network (VPN) server opciót. Továbbhaladva ki kell választanunk a VPN ügyfelek által használni kívánt protokollokat (ez lehet a TCP/IP mellett más is, például a NetBEUI, de a Windows kommunikációhoz ma már bőven elég a TCP/IP is).
Az „Internet Connection” oldalon a meglévő hálózati kapcsolatok közül válasszuk ki azt, amellyel a VPN kiszolgáló az Interneten „lóg”. Az RRAS ezen a kapcsolaton keresztül fogadja majd a beérkező VPN kéréseket. Ez után el kell döntenønk, hogy milyen módgn szeretnénc a beérkező ügyfeleknek IP címeket gsztani. Erre két lehetőségünk van:
• DHCP kisznlgáló használatával – ekkor az RRAS szolgáltatás a belső DHCP kaszolgálótól „szerez” IP-címeket.
• Meghatározott címtartományból – ekkor mi magunk határozhatjuk meg a kiosztani kívánt IP-címeket
Bárhonnan is származik a címtartomány, annak első eleme lesz majd a virtuális kiszolgáló IP címe, a többit pedig az RRAS szépen kiosztja majd a beérkező ügyfelek között. Figyeljünk arra, hogy a kiszolgálón legyen beállítva a DNS és a WINS kiszolgálók IP címe is, mert ezeket az információkat az RRAS a bejelentkezés során továbbítja az ügyfelek irányába.
Ez után azt kell eldöntenünk, hogy milyen módon szeretnénk azonosítani a bejelentkező felhasználókat.
Ehhez a beépített Windows-módszer mellett immár a RADIUS protokoll segítségét is hívhatjuk. A RADIUS-ról később még lesz szó, egyelőre itt válasszuk a „No, I don’t want to…” kezdetű sort, magyarul az azonosítást bízzuk a Windowsra. Miután ezzel elkészültünk, a varázsló elindítja az RRAS szolgáltatást. Az alapvető beállításokkal készen is vagyunk, egy híján.
Fontos! Ha az RRAS nem tartományvezérlőn, hanem tagkiszolgálón fut – ami egyébként a javasolt eljárás –, a tartományi felhasználók azonosítása csak akkor működik helyesen, ha a kiszolgálót felvesszük a „RAS and IAS Servers” csoportba. A legtöbb esetben ez automatikusan megtörténik, de mindig nézzünk utána magunk is!
Az RRAS konzol
Miután a szolgáltatás elindult, ismerjük meg az RRAS felügyeleti modul tartalmát!
A „Ports” sorra kattintva láthatjuk, hogy a varázsló 128-128 PPTP és L2TP portot hozott létre. Ez minden bizonnyal elég lesz, de az elérhető portok számát magunk is beállíthatjuk, ha a fában megnyitjuk a „Ports” tulajdonságlapját. Ugyanitt a portokon kettőt kattintva szükség esetén beállíthatjuk, hogy az adott eszközt szeretnénk-e bejövő, illetve kimenő kapcsolatok felépítésére használni. Az alapértelmezés természetesen nekünk teljesen megfelel. A konzolban látszik az is, ha valamelyik port éppen használatban van (Active/Inactive).
Kattintsunk jobb gombbal a kiszolgálóra (itt SERVER (local)), és nyissuk meg a tulajdonságlap IP oldalát!
Itt állítható be, hogy az ügyfelek IP-címe honnan származzon (DHCP vagy meghatározott IP-cím tartomány). Ezt a beállítást már a varázsló megtette helyettünk. Az oldal alján kiválaszthatjuk azt a hálózati csatolót (értelemszerűen azt, amelyik a céges hálózatra, befelé „néz”), amin keresztül az RRAS a DHCP kiszolgálót megszólítja. Az ügyfeleknek küldött DNS és WINS címek is azok lesznek, amelyek az itt kiválasztott hálózati csatolón érvényesek!
Bár a betárcsázó ügyfél automatikusan kap IP-címet, az ő hálózatán található számítógépek is „kérhetnek” a VPN kapcsolaton keresztül. Ehhez meg kell szólítaniuk a vállalati hálózatban található DHCP kiszolgálót, ez azonban csak akkor fog sikerülni, ha az RRAS kiszolgálón futó DHCP Relay Agent segít nekik, és kérésüket továbbítja a kiszolgáló felé.
A DHCP Relay Agent-nek azonban meg kell magyaráznunk, hogy merre találja a DHCP kiszolgálót. Ehhez a konzolfában nyissuk meg a DHCP Relay Agent tulajdonságlapját és adjuk meg a DHCP kiszolgálók IP-címét. Emlékezzünk, hogy a betárcsázó ügyfél mindenképpen kap IP címet, a Relay Agent használatára csak akkor van szükség, ha a csatlakoztatott hálózaton belülről valaki más is szeretne IP-címhez jutni.
Ügyfél-kiszolgáló VPN kapcsolat létrehozása
A virtuális magánhálózathoz való csatlakozásban segít nekünk az Internet Connection Wizard varázsló. Ezt a vezérlőpultból, a Network Connections ablakon belül taláható Create (Make) New Connection ikon segítségével csalogathatjuk elő.
A csatlakozás típusánál válasszuk ki a VPN-re utaló opciót (Windows 2000-nél „Connect to a private network…”, XP-nél „Connect to the network at my workspace”). XP esetén a következő oldalon még arról is nyilatkoznunk kell, hogy modemes vagy VPN kapcsolaton keresztül szeretnénk csatlakozni. A VPN csatorna kialakításához meglévő Internet-kapcsolatra van szükség. Ez a kapcsolat lehet állandó, de használhatunk klasszikus modemes, betárcsázós kapcsolatot is.
Ezt még kényelmesebbé tehetjük, ha a VPN kapcsolatnak is beállítjuk, hogy melyik – másik – kapcsolat segítségével hozhatja létre a kapcsolatot az Internet-szolgáltatóval.
Ha ezt megadjuk, a Windows szükség esetén tárcsázza majd az Internet-szolgáltatót, és a felépült kapcsolaton keresztül fogja felépíteni majd a VPN kapcsolatot. Ezután meg kell adnunk a VPN kiszolgáló IP-címét (mint egy „telefonszámot”), és már készen is vagyunk.
Csatlakozás a VPN kiszolgálóhoz
Ha megnyitjuk a létrehozott csatlakozási ikon tulajdonságlapját, viszontlátjuk a varázslóban megadott beállításokat. Kattintsunk a Networking oldalra!
Látható, hogy a VPN kapcsolat típusa „Automatic”. Választhatnánk kifejezetten a PPTP vagy az L2TP használatát is, de első körben érdemesebb az automatikus üzemmódnál maradni. Ilyenkor a számítógépek először megpróbálkoznak az L2TP kapcsolat kialakításával, és ha az nem sikerül, végső esélyként megpróbálkoznak a PPTP-vel.
Ha ezzel a beállítással csatlakoznánk a VPN kiszolgálóhoz, a sikeres csatlakozás után minden hálózati forgalom (ideértve például az internetes böngészést is) a VPN kapcsolaton keresztül igyekezne az Internet felé, ugyanis a csatlakozás pillanatában az alapértelmezett átjáró a VPN kiszolgáló lesz. Ha ezt szeretnénk elkerülni, a VPN kapcsolat tulajdonságlapjának fent is látható Networking oldalán válasszuk ki az Internet Protocol (TCP/IP)-t és kattintsunk a Properties, az erre megjelenő dialógusablakban pedig az Advanced… gombra. Ekkor a következő ablakot látjuk:
Ha eltüntetjük a pipát a „Use default gateway on remote network” sor elől, a következő csatlakozáskor az alapértelmezett átjáró marad az, ami volt: az Internet-szolgáltatóé. Ilyenkor a VPN kapcsolat felé csak az a forgalom halad majd, ami kifejezetten oda való.
Ezt ellenőrizhetjük is a route print parancs kiadásával.
Miután ezzel is elkészültünk, itt az ideje, hogy csatlakozzunk végre a kiszolgálóhoz. Kattintsunk duplán a csatlakozás ikonjára vagy válasszuk a Connect parancsot! Adjunk meg egy bejelentkezésre jogosult felhasználónevet és jelszót, és kattintsunk az OK gombra. A kapcsolat néhány másodperc alatt létrejön.
Ha létrejött kapcsolaton a Status parancsot választjuk, megjelenik a fent látható dialógusablak. Itt láthatjuk többek között a saját és a kiszolgáló IP-címét és a titkosítás típusát is.
Ha a titkosítás típusa MPPE – akkor a VPN kapcsolat PPTP IPSec – akkor a VPN kapcsolat L2TP protokollon keresztül jött létre. Az ábrán a bal oldali (XP) PPTP, míg a jobb oldali (W2K Pro) L2TP kapcsolatot épített fel, de ez természetesen nem az operációs rendszer típusától függ. Ne ijedjünk meg, ha elsőre nem épül fel az L2TP kapcsolat, ez az IPSec miatt még további beállításokat is igényel. Elégedjünk meg egyelőre a PPTP-vel, ami bár „gyengébb” titkosítást alkalmaz, mint az IPSec, de azért jóval több, mint a semmi.
Nincsenek megjegyzések:
Megjegyzés küldése