Sie VPN jest rozszerzeniem wewntrznej sieci lokalnej, ktre stanowi dwukierunkowe kanay

suce do transmisji danych przez sieci publiczne z zachowaniem bezpieczeostwa przesyanych danych. Wirtualne sieci prywatne pozwalaj na transfer danych pomidzy dwoma odlegymi komputerami. Podczas tego poczenia dane s szyfrowane, dziki czemu (nawet w przypadku przechwycenia ich przez osoby trzecie) s nie do odczytania. Proces deszyfrowania wymaga uycia odpowiedniego tajnego klucza.

1. Zaoenia i wymagania na sie VPN

Wirtualne sieci prywatne tworz w oglnodostpnej sieci publicznej wydzielone kanay (tunele), ktre dziki wykorzystaniu odpowiednich mechanizmw bezpieczeostwa uniemoliwiaj wamanie si lub przechwycenie transmitowanych danych. Do najwaniejszych takich mechanizmw mona zaliczyd: weryfikacja tosamoci zdalnego uytkownika szyfrowanie informacji enkapsulacja w pakietach IP

Stosowanie wirtualnych sieci prywatnych zapewnia bezpiecznie poczenie pomidzy dwoma segmentami sieci, np. pomidzy central firmy a oddziaem w innym mieci. Koszt wykorzystania dostpnej sieci publicznej do transferu danych jest zdecydowanie niszy ni w przypadku bezporedniego czenia si z oddziaem firmy. Dodatkowo pracownicy firmy, przebywajcy z dala od centrali, mog przekazywad informacje za pomoc wirtualnych sieci prywatnych. Do transferu danych mona take byoby uyd Internetu, ale w przypadku przesyania poufnych danych pojawia si problem bezpieczeostwa. Bardzo wan zalet wynikajca z zastosowania rozwizao VPN jest to, e dziki wykorzystywaniu bezpiecznych metod transmisji pozwalaj zdalnym pracownikom na dostp do zasobw sieciowych danej firmy lub wewntrznych baz danych. Wirtualne sieci prywatne mona budowad na podstawie rnorodnych elementw sprztowych i programowych. Sieci VPN mog wykorzystywad istniejce ju urzdzenia, np. firewalle oddzielajce transfer danych w sieci lokalnej od Internetu albo odpowiednie routery. Taki sprzt zapewnia niezbdne funkcje do dziaania wirtualnych sieci prywatnych: uwierzytelnianie, filtrowanie, enkapsulacj i szyfrowanie. W skad poczenia VPN wchodz nastpujce skadniki: serwer VPN - jest to komputer, ktry akceptuje poczenia od klientw VPN. Serwer ten moe obsugiwad poczenia zdalnego dostpu lub poczenia VPN pomidzy routerami klient VPN - jest to komputer lub router, ktry inicjuje poczenia VPN z serwerem. Klientami mog byd dowolne komputery obsugujce protokoy szyfrujce PPTP, L2TP lub IPSec tunelowanie - proces enkapsulacji, czyli kapsukowanie pakietw w specjalne ramki, ktre umoliwiaj transport tunelem poczenie VPN - jest to poczenie, ktre emuluje transmisj punkt-punkt z szyfrowaniem przesyanych danych. Istniej dwa rodzaje poczeo: router-router oraz poczenie zdalne pomidzy komputerem klienta i serwerem firmy

Sieci VPN powinny speniad wiele wymagao, znacznie przewyszajcych wymagania stawiane protokoom stosowanym w sieci Internet. Do podstawowych wymagao z zakresu bezpieczeostwa i ochrony danych naley zaliczyd: poufnod - atakujcy nie powinien byd w stanie okrelid zawartoci wiadomoci. Zakadajc, e nie chodzi wycznie o rozszyfrowanie wiadomoci, atakujcy moe wyrzdzid szkody znajc wycznie rozmiar szyfrowanych danych obserwujc wzorce bitw w danych szyfrowanych lub te uzyskujc dostp do chociaby jednego bitu uwierzytelnianie i kontrola dostpu - atakujcy nie powinien byd w stanie dodad adnych danych mogcych udawad dane prawidowe. Naley wykrywad sytuacje, w ktrych atakujcy moe powtrzyd wiadomod autentyczn ochrona integralnoci - atakujcy nie powinien byd w stanie zmodyfikowad zawartoci wiadomoci

Naley pamitad o ochronie integralnoci przepywu danych, w ktrych atakujcy nie powinien byd w stanie umiecid, usund lub zmienid kolejnoci przesyanych wiadomoci. Atakujcy nie musi pokonad w zasadzie adnych zabezpieczeo (poufnod danych, uwierzytelnianie, integralnod danych), aby wykonad wiele rodzajw atakw modyfikujcych przepyw danych w sieci VPN.

2. Oglny opis rodowiska systemowego

W naszej pracy przedstawimy projekt poczenia centrali firmy z jej zamiejscowym oddziaem. Bdzie to firma handlowa posiadajca central w Warszawie oraz jeden oddzia w Katowicach. Z uwagi na fakt, e w Warszawie bdzie znajdowa si serwer z programem handlowym, aby umoliwid pracownikom w oddziale przesyanie danych w bezpieczny sposb konieczne jest zestawienie poczenia VPN pomidzy Warszaw a Katowicami. Dziki temu handlowcy z oddziau bd czyd si poprzez przezroczysty tunel ze zdalnym pulpitem w centrali aby mc pracowad na programie handlowym w centrali. Poprzez kana VPN bd przesyane jedynie wyniki dziaania programu. Dodatkowo dostp do Internetu i pozostaych usug dla pracownikw w Gdaosku bdzie realizowany za porednictwem tunelu VPN poprzez cze w centrali - DSL 8Mbit. W projekcie wykorzystano oprogramowanie OpenVPN, ktre dziaa w oparciu o protok SSL. W obu lokalizacjach bd znajdowad si routery pracujce w systemie Linux. Bd one penid rol bramy SSL. Dodatkowo router w centrali zostanie tak skonfigurowany, e bdzie peni funkcj firewalla, dziki ktremu odbywad si bdzie autoryzacja uytkownikw z oddziau - przyznanie dostpu do okrelonych usug (serwerw). Dla osb pracujcych w centrali dostp do usug realizowany bdzie za pomoc list dostpowych konfigurowanych na routerze (bramie SSL). Wejcie do strefy zdemilitaryzowanej, w ktrej znajduj si serwery zabezpieczony bdzie czytnikiem biometrycznym. Dostp do tego pomieszczenia posiada tylko administrator sieci oraz serwisant.

3. Architektura typu gateway-to-gateway

Architektura typu gateway-to-gateway suy do zapewnienia bezpiecznej komunikacji pomidzy dwoma sieciami. Jest ona czsto wykorzystywana do poczenia ze sob dwch odlegych oddziaw firmy. Implementacja takiej struktury odbywa si poprzez umiejscowienie w obu sieciach urzdzeo penicych rol bram VPN, a nastpnie na ustanowieniu poczenia VPN pomidzy tymi bramami. Nawizanie poczenia odbywa si w pewien ustalony sposb. Jedna z bram VPN wysya danie ustanowienia poczenia do drugiej bramy, nastpnie obie bramy wymieniaj si midzy sob informacjami uwierzytelniajcymi oraz negocjuj midzy sob parametry poczenia. Dopiero po udanych negocjacjach poczenie jest rzeczywicie ustanowione. W zalenoci od implementacji i konfiguracji, poczenie takie moe chronid cay ruch lub tylko pewne klasy ruchu. Mona take ustanowid kilka poczeo VPN pomidzy bramami, z ktrych kade bdzie chronid inn klas ruchu i posiadad inne parametry, np. bardziej skomplikowany algorytm szyfrujcy do przesyania bardziej poufnych danych. Architektura typu gateway-to-gateway nie chroni ruchu na caej drodze od uytkownika z jednej sieci do uytkownika z drugiej sieci. Chroniony jest tylko odcinek pomidzy dwoma bramami VPN. Odcinek pomidzy danych uytkownikiem a bram w tej samej sieci nie jest chroniony przez poczenie VPN, dlatego te tego rodzaju architektur zaleca si stosowad do poczenia ze sob dwch zaufanych sieci. Zalet takiego rozwizania jest prostota implementacji oraz stosunkowo niskie koszty, poniewa nie wymaga si instalowania dodatkowego oprogramowania na stacjach roboczych i serwerach. Ponadto nie ma potrzeby dodatkowej konfiguracji systemw operacyjnych. Zabezpieczeniem przesyanych danych, na przykad szyfrowaniem zajmuje si brama VPN, a nie poszczeglni uytkownicy.