Virtuální privátní síť pro malé a střední firmy

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Ondřej Žáček Virtuální privátní síť pro malé a střední firmy Bakalářská práce 2011

2 Zadávací list

3 Prohlášení Prohlašuji, že jsem bakalářskou práci na téma Virtuální privátní síť zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury V Praze dne Podpis

4 Poděkování Prostřednictvím této práce bych chtěl poděkovat Ing. Davidovi Klimánkovi Ph.D. za nasměrování a pomoc s tématem. Dále bych chtěl poděkovat kolegům působících ve společnosti New Telekom spol. s r.o. za ochotu odpovídat na mé dotazy ohledně kritérií pro posouzení řešení.

5 Abstrakt Tato bakalářská práce se zabývá problematikou virtuálních privátních sítí ve společnostech do 25 zaměstnanců, a to především ve smyslu klient-server architektury. V teoretické části definuji požadavky kladené na VPN, specifikuji použitelné technologie, a následně nastíním výběrová kritéria. Pomocí těchto kritérií posoudím vhodnost navržených řešení vícekriteriálním rozhodováním a vybranou variantu následně realizuji. Abstract This thesis deals with issues of Virtual Private Networks in companies up to 25 employees, especially focused on client-network solutions. In the theoretical part, I define requirements imposed on VPN, I specify applicable technologies and subsequently, I sketch selection criteria. Using these criteria, I will pass judgment on the suitability of the suggested solutions by multicriterial decision making and implement the chosen variant.

6 Obsah Slovo úvodem Analýza informací k výběru VPN Definice VPN Proč volit VPN? Co lze očekávat od VPN sítě Rozdělení VPN dle struktury Klient - Síť Klient Server Síť Síť Rozdělení VPN dle platformy Protokoly využívané pro VPN Protokoly TCP-IP PPTP Protokol L2TP IPSec SSL VPN Orientační porovnání VPN technologií Výběr VPN řešení Požadavky a kritéria kladené na VPN Bezpečnost Škálovatelnost Interoperabilita Přívětivost Cena Varianty a typová řešení pro VPN síť Microsoft Windows SBS 2011 Standard MikroTik Pfsense Kerio Control Srovnání variant dle kritérií Tabulka kritérií Fullerův trojúhelník Tabulka váhy kritérií Normalizovaná tabulka kritérií... 33

7 Řešení Zdůvodnění výběru Realizace vybraného řešení - MikroTIK Možností připojení k prvku WINBOX WEBfig SYSTÉMOVÁ KONZOLE ZÁKLADNÍ KONFIGURACE Konfigurace rozhraní Vytvoření mostu Konfigurace IP adres Konfigurace Routování Konfigurace DNS Konfigurace LAN sítě Překlad IP adres (Source NAT) Základní zabezpečení Záloha nastavení Konfigurace VPN Modelová situace PPTP s interními uživateli PPTP s User Manager L2TP síť síť tunel Datová propustnost versus šifrování Transparentnost Závěr práce Seznam použitých zkratek a pojmů Seznam obrázků Seznam použité literatury a zdrojů... 58

8 Slovo úvodem Téma práce jsem si vybral, jelikož mne před několika lety oslovili rozsáhlejší sítě a především větší privátní sítě, které jsem realizoval během své praxe. Ačkoliv jsou informace ohledně virtuálních sítí dostupné v mnoha publikacích, zjednodušený, ale ucelený soupis informací vhodných pro začínající administrátory či správce menších sítí se mi nepodařilo dohledat. Rád bych si tedy jako cíl stanovil pokusit se touto prací nabídnout jistou alternativu k rozsáhlým popisům konfigurace IPSec tunelů a poskytnout nepříliš komplikovaný dokument pro vstup do světa VPN sítí. S pojmem virtuální síť se setká nejspíše každý, kdo pracuje v ICT nebo v jakémkoliv z mnoha příbuzných odvětví, a to nejpozději v okamžiku, kdy mu bude nabídnuta možnost tzv. Home Office - tedy možnost pracovat z pohodlí domova bez zbytečných cest. Notebook dotyčného bude nastaven tak, aby (po připojení) mohl pohodlně pracovat odkudkoliv. Ostatně i autor textu v době psaní této práce neuchovává ani bajt textu na svém laptopu, ale pracuje se souborem bezpečně uloženým na diskovém poli kdesi v housingovém centru. A právě tato možnost, využívat vzdálené a mnohdy nákladné zdroje prakticky odkudkoliv, činí tyto sítě tak zajímavé. Virtuální privátní sítě jsou dnes využívány v širokém spektru odvětví od informatiky, průmyslu, obchodu až po žurnalistiku. Jsou používány především tam, kde je potřeba využívat prostředků či zdrojů, které jsou umístěny na jiném místě, než se nachází daný uživatel. Virtuální sítě tak slouží jako tunel či spojnice mezi uživatelem a jeho domovem či kanceláří, přičemž nezáleží na umístění uživatele, ale pevným a neměnným bodem je v tuto chvíli "volaná strana". Přesněji řečeno jedná se o souhrn protokolů sloužících k vytvoření šifrovaného spojení mezi např. notebookem uživatele a sítí jeho zaměstnavatele tak, aby dotyčný mohl pracovat, jako by byl fyzicky přítomen v dané lokalitě. Může tak například využívat firemní informační systém, groupware či dokumenty uložené na datovém skladu své společnosti. Toto tunelované spojení se typicky realizuje prostřednictvím veřejného internetu, a veškerá komunikace probíhající tímto spojem je proto šifrována. Lze tedy docílit stavu, kdy takto spojené počítače mezi sebou komunikují tak, jako by byly součástí jedné lokální sítě, a ačkoliv tak činí skrze nezabezpečený veřejný internet, je možné veškerou komunikaci považovat za rozumně zabezpečenou. 8

9 Jak už téma práce napovídá, zaměřím se především na virtuální sítě pro menší společnosti, tudíž se částečně oprostím od VPN sloužících pro propojení více geograficky oddělených poboček jedné společnosti. V první části práce se zaměřím na popis protokolů, seznámení s technologiemi, formulování požadavků na tyto a specifikaci nutného SW a HW vybavení pro danou problematiku. Dále pak čtenáře seznámím s kritérii pro hodnocení. Pro simulaci reálné společnosti použiji virtualizované Windows Small Business Server 2011 a dále zařízení od společnosti MikroTik. Jako alternativní řešení pak produkt společnosti Kerio a freeware odnož BSD pfsense. V další části již srovnám výhody, či nevýhody řešení, které tyto technologie nabízí a setřídím je podle schopnosti vyhovět stanoveným požadavkům pomocí vícekriteriálního rozhodování. Následně zdokumentuji využití toho řešení, které splní nejvíce požadavků stanovených na počátku práce. Forma této práce lze kvalifikovat jako interpretace, neboť během realizace budu simulovat a analyzovat síťovou komunikaci v imaginární společnosti, a později posuzovat (dle stanovených kritérií - např. náročnost realizace, nabízené služby) jednotlivé varianty. Předpokládám, že nejdelší a nejtěžším úsekem bude konfigurace VPN bodů a klientských stanic. Testování bude probíhat na vlastních síťových prvcích, či na zařízeních zapůjčených společností, ve které jsem realizoval povinnou praxi. Tato společnost se zabývá především telekomunikacemi a poskytováním kompletních síťových řešení. Mnoho termínů uváděných v této práci bohužel postrádá český předklad, případně tyto termíny přeloženy jsou, ale překlad se v praxi nepoužívá (směrovač, přepínač). Proto na stránce 56 uvádím seznam zkratek a pojmů 9

10 1. Analýza informací k výběru VPN V první části této práce bych rád předestřel základní informace, se kterými je vhodné se seznámit před samotným testováním, výběrem a realizací řešení Definice VPN Definice VPN dle konsorcia VPNC: Virtual Private Network (VPN) je privátní datová síť, která využívá veřejné telekomunikační infrastruktury a zajišťuje soukromí pomocí tunelovacích protokolů a bezpečnostních procedur. [INT 1] VPN je tedy možné definovat jako soukromé logické spojení vyhrazené autorizovaným osobám pro připojení ke vzdáleným zdrojům. Toto spojení je realizováno prostřednictvím veřejného internetu či WAN sítí lokálních ISP. Na obou koncích tohoto logického spoje se nachází patřičně nakonfigurovaný hardware a/nebo software, který zajištuje celý proces zapouzdření, šifrováni a tunelování Proč volit VPN? Stěžejní okamžik pro zavedení VPN do rozrůstající se společnosti nastane většinou ve chvíli, kdy dojde k havárii serveru, či jen pouhé nedostupnosti nějaké služby, a správce IT v této společnosti se nachází na dovolené, či je jiným způsobem nedostupný. Nastávají pak situace, kdy se v IT nejzběhlejší zaměstnanec v sídle společnosti snaží (patřičně instruován po telefonu) například obnovit data z RAIDového pole, restartovat služby na serveru atp. Ovšem, důvodů pro zavedení VPN do jakékoliv společnosti je mnoho a nemusí být nutně předcházeny katastrofou. Rád bych tedy nastínil alespoň základní body proč se vydat touto cestou. Univerzálnost - VPN není omezená pouze na jednu danou službu Škálovatelnost - možnost rozšiřovat počet připojených klientů dle přání Dostupnost - zaručený přístup ke všem zdrojům ve vzdálené lokalitě Vzdálený přístup - zaměstnanci společnosti mohou přistupovat odkudkoliv Zapouzdření - mohou být zapouzdřeny i služby jako IPX Kontrola - možnost monitorování přístupů vzdálených klientů 10

11 Jak je patrné z těchto bodů, veškeré výhody vycházejí ze základní myšlenky umožnit ověřenému uživateli pracovat odkudkoliv prostřednictvím stávajících připojení lokálních ISP či veřejného internetu. Pro lepší představu o případném využití VPN si představme síť společnosti s centrálou v Praze a pobočkou v Brně. Tato síť má několik desítek pevných uživatelů a několik zaměstnanců, kteří pravidelně cestují po Čechách. V případě že tato společnost používá například ekonomický systém Pohoda či Money S3 nastává otázka, jak umožnit těmto cestujícím zaměstnancům přistup do systémů společnosti při zachování patřičného zabezpečení a zároveň nízkých nákladů. Pakliže zároveň vezmeme v potaz nutnost propojit síť obou poboček do jednoho segmentu, jeví se VPN jako ideální volba Co lze očekávat od VPN sítě Každý manažer, majitel společnosti či zákazník má jistá specifika, která se promítnou v očekávání do nově nasazované technologie. Pokusím se seřadit několik klíčových vlastností těchto sítí, abychom se vyhnuli případným nenaplněným očkováním a nejasnostem. Většina VPN je ideálním řešením pro vzdálený přístup, pomoc uživatelům či zvýšené zabezpečení pro přístup k firemní síti a informačním systémům. Je ovšem důležité dopředu plánovat jaké programy budeme vzdáleně obsluhovat, neboť lze obecně říci, že až na výjimky jsou VPN: Pomalejší než LAN Méně spolehlivé než LAN Hůře monitorovatelné pro firewally Z uvedených bodů tedy vyplývá, že očekávat možnost zálohování jednoho serveru skrze VPN na pobočku v jiné lokalitě by bylo velmi nerozumné. Stejně tak i případné využití ekonomického systému, který by byl spouštěn skrze VPN, je na hranici použitelnosti. Naopak vzdálená plocha na terminálový server, klient aplikace využívající SQL, či intranetová aplikace postavená na HTTP jsou ideální kandidát pro využití této technologie. 11

12 1.4. Rozdělení VPN dle struktury Sítě VPN lze rozdělit do tří typů dle logického členění: klient - síť, síť - síť, klient - server. Ačkoliv se v této práci budu zaobírat převážně architekturou klient síť, považuji za vhodné seznámit případného čtenáře se všemi možnými variantami. Je totiž velmi pravděpodobné, že základní myšlenka o připojování samostatných pracovníků se postupně rozvine na celkové více-pobočkové řešení. S ohledem na skutečnost, že zdaleka ne všechny protokoly, o kterých se zmíním, jsou ideální na propojení více sítí, je tedy vhodné již předem posoudit volbu správného protokolu pro realizaci sítě. Obecně lze říci, že pro všechny varianty VPN sítě platí následující tabulka. Tabulka 1 Vliv časové prodlevy na použitelnost spojení Odezva na vzdálený bod Použitelnost <10 ms Excelentní (VoIP hovory) <50 ms Výborná (RDP a ONLINE aplikace) <100 ms Použitelná ( , informační systém) >100 ms Nekomfortní využití i pro http aplikace Klient - Síť Obrázek 1 - Klient síť Jak design na obrázku 1 napovídá, jedná se o časté řešení. Umožňuje využití většiny firemních prostředků, jako je interní informační systém, CRM, správa dokumentů, tisk a jiné. Všechny počítače, včetně vzdálených stanic připojených do VPN se chovají tak, jakoby byly součástí jednoho síťového segmentu. Hlavní benefit tohoto řešení spatřuji v možnosti vzdáleného přístupu ke stanicím v lokalitě, což je ideální varianta, pokud společnost nechává své ICT zdroje outsourcovat. Výhodou pro tyto společnosti je fakt, že outsourcingové organizace si často za vzdálenou pomoc přes VPN účtují jinou řádově nižší sazbu než za výjezd technika. Bohužel, jak jsem během praktické části zjistil, ne všechna typová řešení s touto variantou klient síť počítají. 12

13 Klient Server Obrázek 2 - Klient Server Klient server je asi nejvíce zastoupené řešení. Benefit spočívá ve využití bezpečnosti VPN k realizaci citlivých operací. Prostředky, použitelné pro klienta, jsou ovšem omezeny pouze na jediný server. Tato varianta je často používána v bankovním sektoru, kdy zákazník pomocí clientless SSL - VPN ovládá svůj účet přes běžný internetový prohlížeč. Bohužel využití služeb je vzhledem k omezení dnešních prohlížečů dosti omezeno. Nicméně, například společnost Microsoft Inc. nabízí velmi silné řešení na bázi SSL - VPN - Microsoft Web Access, kdy je Internet Explorer schopen zobrazit i plochu vzdáleného serveru Síť Síť Obrázek 3 - Síť - Síť Nejmohutnější a nejkomplexnější možná varianta. Jedná se v podstatě o privátní síť, která je ovšem s ohledem na náklady- realizována po síti partnera. Toto řešení je ideální volbou všude tam, kde je potřeba spolupracovat a komunikovat v jednotném celku bez ohledu na geografickou pozici zaměstnanců. Tato varianta je tedy vhodná například pro vysoké školy s několika fakultami, ale hlavně pro společnosti s obchodním zastoupením na několika kontinentech. Dnes již je běžnou praxí, že se ICT oddělení velké korporace nachází například v Indii (Dell, Microsoft), kde je dostatek kvalifikovaných odborníků a zároveň nižší mzdové požadavky. 13

14 1.5. Rozdělení VPN dle platformy Řešení VPN lze rozdělit dle zvolené platformy. Obecně lze říci, že hardwarové řešení je výkonnější co do prostupnosti a schopnosti kryptování, neboť některé dražší zařízení jsou vybavovány čipy pro akceleraci šifrování. Softwarové VPN Do této kategorie například spadá produkt společnosti Microsoft serverový systém pro SMB sektor - Windows Server 20xx Small Business. Softwarové řešení lze považovat za levnější a dostupnější variantu, ačkoliv nelze říci, že by nutně bylo variantou horší. Díky nativní podpoře základních tunelovacích protokolů ve většině moderních operačních systémů ani není nutné investovat do software třetích stran. Hardwarové VPN Hardwarové řešení je nákladnější, leč výkonnější řešení. Zákazník nákupem získá blackbox, který často kombinuje schopnosti routeru, firewallu a VPN koncentrátoru. Tyto síťové prvky jsou většinou vybaveny čipy se specializací na kryptování, takže datová i paketová prostupnost může být i řádově větší než u softwarové varianty. Nejčastěji se lze setkat s výrobky společnost Cisco Systems, Juniper, 3Com, či MikroTik Protokoly využívané pro VPN Protokolů určených pro VPN je velké množství, a protože práce je zaměřena obecně na menší sítě, dovolím si vynechat technologie VLAN, MPLS či OpenVPN, ačkoliv poslední ze jmenovaných je de facto jen SSL-VPN použitelnou pro Sít-Síť spoje. V této kapitole se zaměřím na protokoly, se kterými se lze běžně setkat, uvedu základní informace a pokusím se rozebrat jejich výhody a nevýhody pro nasazení. Předem bych ale případného čtenáře upozornil, že jakékoliv jiné porovnání, než pouhé srovnání faktů, je vždy velmi subjektivní a mnoho síťových expertů by jistě tvrdě prosazovalo právě OpenVPN, či SSH2 jako ideální protokol pro menší a středně velké společnosti. 14

15 Protokoly TCP-IP Protokoly TCP-IP samozřejmě neslouží primárně pro VPN, ale pro směrování a přenos paketů. Nicméně abychom dobře interpretovali jednotlivé VPN standardy, je vhodné si připomenout základní filozofii IP protokolu, který je používán pro přenos paketů po internetu. Pro téma této práce nám postačí vybrané body z TCP-IP: Síťový model & síťový paket Přestože je model OSI bezesporu nejpopulárnější, není ani jediným ani prvním síťovým modelem. Ve skutečnosti je pravdou, že přibližně o jednu celou dekádu dříve, než model OSI byl vyvinut model amerického ministerstva obrany DoD často se mu také říká model TCP/IP. [1] Pro názornost si tedy vystačíme s modelem DoD, často označovaným jako model TCP/IP, který je jednoduší a přehlednější. Diagram 1 - model DoD DATA Aplikační vrstva TCP Hlav. TCP data Transportní vrstva IP Hlav. IP DATA Síťová vrstva Hlav. rámce IP paket zápatí Spojová vrstva *Hlav. = Hlavička Na tomto modelu je dobře patrné postupné zapouzdření dat do rámce, o kterém se ještě zmíním v části práce věnované PPTP protokolu. Směrování IP adres Zaručuje, že naším počítačem vytvořená paket dostane do koncového počítače. Pro názornost jednoduchá routovací tabulka z autorova domácího routeru: Tabulka 2 Příklad Routování # Cílová síť Brána v síti Interface / WAN / WAN / SWITCH / <l2tp-vpn_dari> / <pptp-vpn_nt> / <l2tp-vpn_speed> 15

16 Postup pro pochopení routovacích pravidel je jednoduchý. Software na routeru prochází jednotlivá pravidla a propočítává dle cílové adresy paketu, jestli je možné zaslat paket do odpovídající sítě. Pokud nenajde příslušnou síť, zašle paket na IP adresu své výchozí brány. Tento postup je hierarchicky škálovatelný zpravidla až do hraničních routerů ISP, kde probíhá směrování již pomocí protokolu BGP. Při konfiguraci VPN se můžeme setkat s dvěma odlišnými přístupy, kdy první preferuje umístění vzdálených klientů do jiného subnetu, než ve kterém nachází lokální síť. VPN klienti v jiném subnetu Tento pohled nabízí o úroveň lepší zabezpečení, ale je nutné přesměrovávat veškerý provoz z VPN a do VPN. Tento pohled je také jediný správný, pokud naše síť obsahuje více počítačů. VPN klienti v stejném subnetu Tato možnost může být chápána jako nepřijatelná z bezpečnostního hlediska, či dokonce nepřijatelná s ohledem na počet počítači v síti. Je pravdou, že tato varianta zasílá broadcast požadavky i na adresy VPN klientů a v rozsáhlejších sítích tak může dojít k výraznému zpomalení. Jedinou výhodou tak zůstává jednoduší konfigurace a transparentnost sítě pro stanice s OS Windows PPTP Protokol PPTP byl vyvinut společnostmi Microsoft, Alcatel-Lucent a 3Com. V dnešní době je všeobecně považován za překonaný, například kvůli absencím standardů pro proces autentizace, což vede k občasné vzájemné nekompatibilitě zařízení. Nicméně díky jednoduchosti řešení, nativní podpoře v drtivém množství zařízení a nepovinné podpoře šifrování je stále velmi používaný. Vývojáři open-source implementací pro UNIX, včetně Linuxu a různých odvozenin BSD, které se šíří zdarma, implementovali PPTP jako podporu při vytváření levných zašifrovaných tunelů s klientskými počítači, jež používají systém Windows. Jsou k dispozici implementace pro klienty i servery, které jsou schopny fungovat i s implementací PPTP od Microsoftu. Takže i když budoucností VPN zůstává i nadále IPSec, je protokol PPTP při zajišťovaní interoperability mezi VPN 16

17 pragmatickým řešením pro teď.[2] Funkce PPTP je vcelku jednoduchá. Jedná se o kombinaci Point to Point Protokolů a GRE relace. PPP protokol protokol linkové vrstvy, používaný pro přímé spojení mezi dvěma síťovými uzly. Umožňuje autentizaci, šifrování a kompresi přenášených dat.[ INT 2] GRE relace Protokol používaný univerzálně napříč IP sítěmi například právě pro PPTP, či tunelování IPv6 paketů skrze IPv4 sítě. Způsob, jakým tento protokol funguje, je vcelku jednoduchý: PPTP zapouzdří PPP rámec, který může být IP, IPX nebo NetBEUI paketem uvnitř Generic Routing Encapsulation (GRE) hlavičky. Pro poskytnutí zdrojové a cílové IP adresy je vložena i IP hlavička. Zdrojová adresa je VPN klienta a cílová je VPN serveru. Pro případně šifrovaní je používán algoritmus RC4 s délkou klíče bit L2TP L2TP je pokračovatelem protokolu L2F společnosti Cisco Systems a využívá některých vlastností PPTP. Ačkoli je tento protokol ideální pro přenos libovolných dat na síťové vrstvě (IPX, NetBEUI), tak v základu není schopen šifrovat přenášená data, a proto se samotného protokolu L2TP v podstatě nevyužívá. Využívanější variantou této technologie je kombinace L2TP a IPSec, kdy první protokol slouží k sestavení tunelu a šifrování je dosaženo pomocí IPSec. Výsledná technologie je označována jako L2TP/IPsec. Microsoft považuje L2TP za ideální mechanismus pro autentizaci uživatelů, pokud se požaduje silné zabezpečení uživatelů se vzdáleným přístupem. Protože protokol L2TP poskytuje bezpečnou autentizaci uživatelů a pak pro autentizaci zařízení používá IPSec, mohou se vzdálení uživatelé připojovat bez mezery v autentizaci.[2] Zajímavá implementace pro L2TP je zvolena v systému RouterOS společnosti MikroTIK. RouterOS, ačkoliv plně podporuje IPSec, umožnuje i konfiguraci L2TP tak, že je použito kryptování pomocí MPPE, které se jinak používá v implementaci PPTP společnosti Microsoft. 17

18 IPSec Protokol IPSec je často označován jako jediná alternativa, pokud bychom chtěli uvažovat o bezpečné VPN. IPSec je možné použít pro šifrování dat, přenášených skrze tunel vytvořený na jiném protokolu, například L2TP. Můžeme jej také použít k vybudování tunelu, pokud tento protokol pracuje v tunelovém režimu. V tunelovém režimu může být IPSec použit pro zapouzdření IP paketů a může být nakonfigurován na ochranu dat mezi dvěma IP adresami nebo mezi dvěma IP podsítěmi..[1] Nastavení tohoto protokolu není úplně nejsnadnější vzhledem k nutnosti přiřazovat certifikáty či předsdílené klíče. Jako rozumný popis funkce nabízím tuto citaci: IPsec nejprve zařídí to, že se obě strany navzájem identifikují (autentizují) a následně šifruje veškerou komunikaci pomocí domluveného algoritmu. V rámci IPsecu můžeme používat velké množství standardních protokolů a algoritmů. IPsec neurčuje, jaké algoritmy se musí použít pro komunikaci, ale definuje mechanismy vyjednávání a základní množinu algoritmů.[ INT 3 ] IPSec lze používat v následujících dvou režimech: Transportní mód původní IP hlavička je zachována a upravuje se (šifruje) pouze datová část paketu. Výhodou transportního módu jsou nižší nároky na přenosové pásmo. Tím, že jsou k dispozici informace o cílovém zařízení, lze rovněž během přenosu paketu sítí aplikovat některé nadstandardní mechanismy (např. kvalita služeb QoS). Transportní mód se nejčastěji používá při autentizaci vzdálených klientů VPN. Tunelovací mód původní data spolu s IP hlavičkou jsou zabalena a chráněna v nově vytvořeném IP paketu. Nový paket obsahuje IP adresu odesílatele a příjemce z transportní IP sítě. Tunelovací mód může spolupracovat s oběma protokoly (ESP i AH). V současnosti se tento mód používá častěji.[ INT 1] SSL VPN Jak jsem uvedl dříve, se SSL VPN se lze setkat například u bankovních aplikací či formou apletů pro (nejčastěji) pro internetové prohlížeče. Díky tomuto apletu jsme schopni provádět i některé nestandardní činnosti jako například vzdálenou plochu - právě prostřednictvím internetové prohlížeče. SSL běží pod aplikační vrstvou (jedná se de facto o mezivrstvu), která je konfigurována mateřskou aplikací. Tato mezivrstva poskytuje zabezpečení komunikace, šifrování a autentizaci komunikujících stran. 18

19 Jedinou variantou, kterou lze označit jako Síť-Síť, využívající technologii SSL (přesněji OPENSSL) je protokol Open VPN. Tento protokol, co do bezpečnosti často srovnávaný s IPSec, je díky podpoře a otevřenosti kódu často nasazován do sítí postavených na UNIX či LINUX platformě Orientační porovnání VPN technologií Vzhledem k vzájemné blízkosti PPTP a LT2P se přímo nabízí možnost jejich srovnání. Výhody L2TP/IPSEC oproti PPTP Podpora více tunelů mezi koncovými body Schopnost autentizovat tunel Podpora ATM či Frame Relay sítí Nevýhoda Náročnější konfigurace IPSec se od výše uvedených liší hlavně vyšší bezpečností díky využití certifikátů, komplexností a náročností na konfiguraci. Naopak čisté SSL-VPN se liší omezenou využitelností a absencí podpory více sítí. V následující tabulce se pokusím přehledně srovnat uvedené protokoly. Pro zachování objektivity ovšem dodávám, že implementace některých forem IPSec nemusí být zdaleka tak obtížná. Například v době kdy vznikala tato práce, se objevili na trhu velmi zajímavé prvky od společnosti Cisco Systems spadající do cenové relace do 5000 Kč. Překvapilo mne, že konfigurace IPSec tunelu i následné připojení prostřednictvím dodaného klienta je vcelku jednoduché a intuitivní. Tyto prvky podporují až 5 současných spojení a mohly by být také velmi zajímavou variantou. Tabulka 3 srovnání technologií Technologie DoD Vrstva Síť-síť Klient-síť Obtížnost konfi. PTPP 2 dle routeru ANO 1 L2TP 2 ANO ANO 2 IPSec 3 ANO ANO 5 SSL 4 dle implementace ANO 3 L2TP/IPSEC 2 ANO ANO 4 19

20 2. Výběr VPN řešení 2.1. Požadavky a kritéria kladené na VPN Požadavky kladené na VPN jsou už od počátku velmi protikladné. (Typickým příkladem budiž cena vs. datová propustnost). Základním elementem, kvůli kterému vlastně k realizaci tohoto síťového řešení dochází, je ale zcela jistě bezpečnost. Dalším důležitým aspektem je uživatelská přívětivost, neboť uživatel znechucený složitostí našeho řešení dokáže vyvinout neuvěřitelnou invenci pro nalezení vlastního řešení pro přístup do naší sítě. Na následujících stranách detailněji rozeberu základní požadavky, které jsou vhodné ke zvážení před realizací VPN. V další části této práce se později pokusím dle těchto kritérií posoudit vhodnost typových řešení realizace VPN Bezpečnost Velmi známý bonmot tvrdí, že systém je jen tak bezpečný, jak je bezpečný jeho nejslabší prvek. Troufám si tvrdit, že nejslabším článkem (nejen) v počítačových sítích je, a vždy bude, lidský faktor. Můžeme nastavit výborně zabezpečený Cisco prvek, ale pokud bude uživatel nosit svůj soukromý certifikát společně s instalátorem Cisco VPN klienta a souborem heslo.txt na svém flashdisku, jsme předem ztraceni. Proto je vhodné už při samotných úvahách nad zabezpečením VPN brát v potaz i případnou pohodlnost zvoleného řešení pro koncové uživatele. Ostatně bude to právě koncový uživatel, který bude nakonec oním pomyslným nejslabším článkem řetězu. Jak jsem během své dosavadní praxe zjistil, jsou to právě pojmy bezpečnost a uživatelská přívětivost, které jsou nejčastěji v opozici. Protože budeme s pojmem bezpečnost na následujících stránkách často pracovat, pokusil jsem se dohledat co možná nejvýstižnější definici. Dle mezinárodní normy ISO je bezpečnost definována, tako: 20

21 Bezpečnost je zajištěnost proti nebezpečí a souhrn administrativních, logických, fyzických a technických opatření k detekci a opravě nesprávného použití daného systému [INT. 1] Systémem je v tomto případě nejen celkové řešení VPN, ale i postupy společnosti pro přiřazení patřičných oprávnění. Obecně lze říci, že neexistuje absolutně bezpečná síť, neboť jediná opravdu bezpečná síť je taková, do které nemá přístup vůbec nikdo. Bohužel, taková síť ale popírá podstatu pojmu síť. Abychom mohli hodnotit parametry bezpečnosti alespoň částečně objektivně, musíme definovat jisté požadavky. Mezi základní lze řadit následující: Autentizace Autentizace je proces, kdy prověřujeme, zda objekt či uživatel je opravdu ten, za koho se vydává. V této části procesu dochází k ověřování hesla vůči jeho hashové podobě, či ověřování validnosti certifikátů. Pokud je celý proces úspěšný, dojde k autorizaci objektu. Typickým protokolem pro autentizaci je MS-CHAP. Autorizace Na základě úspěšné autorizace jsou objektu přiřazená patřičná oprávnění pro přístup a správu vzdálených zdrojů. Jak proces autorizace, tak autentizace lze provádět jak oproti lokální databázi uživatelů, tak oproti serveru RADIUS či prostřednictvím IAS služby. Integrita Jedním ze základních požadavků je zachování celistvosti paketů procházejícím tunelem a také zajištění potvrzení o doručení těchto paketů. K zajištění této integrity jsou používány běžné rekurzivní kontroly, CRC, či hashovaní funkce. Transparentnost Pojem transparentnost v tomto ohledu definujme jako možnost monitorovat a v reálném čase analyzovat činnost uživatelů. Neméně důležitá je možnost veškerá data a aktivity uživatelů uchovávat pro případnou pozdější analýzu bezpečnostní události. Kryptování Kryptografie neboli šifrování je nauka o metodách utajování smyslu zpráv převodem do podoby, která je čitelná jen se speciální znalostí. [INT 4] 21

22 Jedná se tedy o klíčový požadavek na VPN. Od těchto sítí očekáváme, že i když jsou realizovány skrz veřejný internet, zaručí nám velmi rozumné zabezpečení přenášených dat. Některé protokoly, jako jsou PPTP či IPSec, poskytují šifrování přenášených dat již nativně, ostatní jako například L2TP tuto možnost v základu nenabízejí. Běžné metody kryptování jsou například MPPE (používané pro PPTP), DES či AES. Některé algoritmy, jako MPPE společnosti Microsoft, bývají často označovány jako slabé, či nedůvěryhodné. Domnívám se ovšem, že než slabé šifrování je častějším původcem bezpečnostního incidentu slabé uživatelské heslo, které lze jednoduše napadnout slovníkovým útokem. Před volbou šifrovací metody a slepou vírou v její sílu a bezpečnost se hodí podotknout, že většina těchto algoritmů pochází se Spojených států, a tyto se vcelku odmítavě staví k vývozu tzv. Silných šifer, nebo lépe řečeno k vývozu šifer, které nejsou vládní organizace USA schopny v krátké době dekryptovat. Princip šifrování lze zjednodušeně shrnout do jednoduchého diagramu. Diagram 2 princip šifrování DATA + KLÍČ + ALGORITMUS = ZAŠIFROVÁNO Škálovatelnost Požadavek na škálovatelnost již nespadá do kategorie bezpečnostních požadavků, ale rozhodně není nijak nedůležitý. Jedná se v podstatě o možnost pohodlným způsobem rozšířit počet uživatelů, kteří jsou oprávněni vzdáleně přistupovat do sítě, pokud to společnost vyžaduje. Ačkoliv se může zdát, že je tento požadavek zanedbatelný, některé prvky určené pro SMB trh jsou limitovány například 5 současnými tunely a v případě potřeby dalšího tunelu budeme muset přehodnotit celé dosavadní řešení VPN sítě Interoperabilita Tento požadavek lze uchopit ze dvou rozdílných pohledů. První z možných je čistě administrativní. Převážně ve větších organizacích, či ve firmách s velkou fluktuací zaměstnanců může nastat problém s udržením aktuální tabulky 22

23 oprávněných uživatelů. Ideálním řešením je tedy možnost propojit VPN box s Active Directory či podobnou službou. Oprávnění pak lze řídit centrálně jako dial-in právo či skrze Group Policy. Druhým možným pohledem na interoperabilitu je pouhý výčet zařízení, která budou schopna připojení do VPN. Například drtivá většina dnešních tzv. chytrých mobilních telefonů je schopna pracovat se základními protokoly pro VPN a stát se tak pohodlným a velmi mobilním terminálem. Obecně lze tedy říci, že interoperabilitu v tomto pohledu chápu jako schopnost realizovaného řešení spolupracovat se stávajícími systémy a procesy ve společnosti Přívětivost Jak napovídá název, jedná se o přívětivost řešení jak pro uživatele, tak pro administrátora. Uživatelsky přívětivé řešení mimo jiné znamená, že uživatelé nebudou sváděni k různým bezpečnostním nepodloženostem. Zjednodušeně řečeno, poklepání na ikonku zástupce s následným doplněním hesla je daleko uživatelsky komfortnější byť méně bezpečné než autorizace přes mobilní telefon, či ověřovací kalkulačku Cena Po bezpečnosti zcela jistě nejčastěji posuzované hledisko. Pro některé společnosti může být cena i klíčová. Při rozhodování mezi variantami berme v potaz i TCO 1 a nejen cenu pořizovací Varianty a typová řešení pro VPN síť Pro testování jednotlivých variant jsem využil Virtualizační nástroj Micosoft Hyper-V a Mikotik RB450. Jednotlivá zařízení se nacházela v síti /28. Testování probíhalo zhruba v rozsahu 30 dní. S většinou řešení jsem již měl zkušenosti díky zaměstnání či praxi. Novinkou pro mne například byla konfigurace IPSec tunelu, se kterou jsem se poprvé setkal až při přípravě podkladů pro tuto práci. 1 TCO total cost of ownership celkové náklady včetně prodloužení licencí, updatů atp. 23

24 Microsoft Windows SBS 2011 Standard Serverová edice Small Business Server společnosti Microsoft je vcelku oblíbené serverové řešení pro menší a středně velké společnosti do cca 75 zaměstnanců. Tento operační systém vždy vychází z aktuální edice systému Windows Server, a to již od verze Licenční politika Microsoftu striktně rozděluje využití jednotlivých systémů, jak dle určení, tak dle velikosti subjektu. Operační systém se velmi obecně příjemně konfiguruje, ovšem některá řešení je náročnější systému vnutit. Například pokud použijeme jiný DHCP server či máme v síti jiný router a trváme na jeho využití. Windows Server akceptuje příchozí VPN spojení a to (ve výchozím nastavení) pomocí PPTP, ale lze jej nastavit i k použití IPSec. Jako velmi zajímavé řešení pro vzdálený přístup k datům společnosti se jeví integrovaná SSL VPN Windows Web Access. Tato VPN kromě služeb podobných Cloud řešení nabízí i přístup vzdálené plochy včetně spouštění programů třetích stran. Windows SBS jsou kombinací následujícího: serverový operační systém kolaborativní portál Sharepoint poštovní a Groupeware server Exchange firemní firewall U tohoto řešení je poněkud obtížnější stanovit cenu za VPN část. Celková cena produktu se v současné chvíli pohybuje kolem Kč, tudíž je tato varianta vhodná spíše pro společnosti, které oslovuje možnost vše-v-jednom. Popřípadě pro společnosti, které se bez realizace serveru neobejdou, například z důvodů zavádění informačního systému. Případné rozšíření licencí pro více jako 5 uživatelů lze zakoupit v blocích po 5 za cenu pohybující se okolo Kč. Licence jsou kalkulovány podle současných připojených zařízení, či uživatelů. 24

25 Tabulka 4 MS Windows Výhody Moderní stabilní operační systém Dodáván převážně na kvalitním hardware Velmi přehledná konfigurace Interoperabilita Technická podpora Uživatelská přívětivost Nativní podpora VPN u klientských stanic Nevýhody All-in-one řešení Oblíbený operační systém - častý cíl útoků Hardwarová nenáročnost Jiné než výchozí řešení je náročné na konf. Cena Funkce pro VPN řešení: PPTP, L2TP, IAS, ADirectory, LDAP, IPSec Obrázek 4 - Grafické rozhaní sítě - Windows SBS 25

26 MikroTik Litevská společnost MikroTik vyvíjí od roku 1995 operační systém RouterOS. Ačkoliv je RouterOS určený původně pro běžnou x86 platformu v dnešní době nejčastěji prodávaným řešením embedded systém s produktovým názvem RouterBOARD. Tyto jednoúčelové základní desky postavené na platformě x86 či MIPS jsou velmi oblíbené řešení mezi českými WiFi poskytovateli. RouterOS ovšem není tak limitován jako podobné free projekty (pfsense, m0n0wall) a nabízí funkce (MPLS, BGP, QoS) použitelné i pro velké operátory. Velkou výhodou MikroTiků je možnost konfigurace jak pomocí CLI, tak přes aplikaci WinBOX a nově i skrze velmi povedené webové rozhraní. Mezi velké přednosti RouterOS patří velmi rozsáhlá škálovatelnost a možnost implementace vlastních skriptů. Zařízení navíc podporuje velké množství VPN protokolů, takže je možné realizovat VPN pomocí PPTP a později se kupříkladu rozhodnout pro jiný protokol. Častým důvodem pro toto řešení je také jeho univerzálnost a proprietární doplňky. Podpora více tunelů současně (na různých protokolech) umožňuje realizovat VPN spojení s pobočkou přes IPSec a běžné vzdálené klienty realizovat na PPTP. Nezanedbatelnou výhodou je také podpora RADIUS a LDAP služeb, tudíž je možné autorizovat uživatele oproti Windows Active Directory či podobným službám. Důvodem pro velké rozšíření produktů MikroTIK v České Republice je rozhodně poměr cena a výkon těchto zařízení. Na produktovém portfoliu této společnosti lze vystavět sítě od domácího sdílení internetu po celofiremní VPN s velmi vysokou propustností. Cenová politika a produkty MikroTIKu se odvíjejí od požadovaného řešení. Typickou variantu firemního routeru, firewallu, WiFi Access Pointu a VPN směrovače lze realizovat do Kč. Licence pro jednotlivé uživatele není nutné dokupovat, neboť licenční politika je postavena na dostupných funkcích a nikoliv na počtu uživatelů. Pro firemní nasazení lze doporučit produktovou řadu RB 400. Tabulka 5 - MikroTIK Výhody Nevýhody Výborná interoperabilita Kolísající hardwarová kvalita RouterBOARDů Excelentní škálovatelnost Nekvalitní OEM zdroje Dostupnost informací na wiki.mikrotik.com Některé funkce jsou ve stadiu betaverze Uživatelská přívětivost Náročnější import konfigurace Nativní podpora VPN u klientských stanic Funkce pro VPN řešení: PPTP, L2TP, IAS,RADIUS,MPLS, IPSec, OpenVPN 26

27 Obrázek 5 - GUI RouterOS Pfsense Pfsense je v informatice projekt, jehož cílem je vytvořit na základě FreeBSD kompletní firewall, který by na standardním nebo jednodeskovém PC poskytl všechny důležité vlastnosti komerčních firewallů, měl jednoduché ovládání, a byl za přijatelnou cenu (svobodný software). Pfsense vychází z projektu M0n0wall a významně rozšiřuje jeho možnosti.[int 6] Pfsense je jeden ze skupiny free nástrojů jako je M0n0wall, či FreeNAS, kde lze pomocí speciální distribuce recyklovat již vyřazenou pracovní stanici a v podstatě s nulovými náklady postavit ideální síťové řešení, resp. datové úložiště. Pfsense se velmi pěkně konfiguruje a přes webové rozhraní lze následně nastavit většinu využitelných funkcí pro malou až střední síť. Nevýhodou je jistá neflexibilita - pokud bychom chtěli využít jiných služeb, než jsou nabízeny v základu, neobejdeme se bez širších znalostí Unix-like OS, konkrétně FreeBSD. Naopak ceněnou výhodou je v podstatě nulová cena za tento software a nulové náklady na údržbu. Velmi oceňuji možnost ukládat konfigurační soubory na přenosná média a v případě HW výpadku routeru migrovat celé řešení na záložní stroj. 27

28 Tabulka 6 - Pfsense Výhody Náklady na pořízení Přehledná konfigurace Export konfigurace Nevýhody Omezená podpora hardware Omezené možnosti GUI Řešení často postavené na nekvalitním HW Funkce pro VPN řešení: PPTP, RADIUS, IPSec, OpenVPN Obrázek 6 - Pfense - pravidla firewallu 28

29 Kerio Control Produkt České společností Kerio je vyvíjený od roku 2001 původně pod názvem Kerio Winroute Firewall. Tento software již od počátku nabízel velmi zajímavé řešení firemního firewallu a jednoduchého poštovního serveru. Ačkoliv byl tento nezvyklý mix vcelku úspěšný, později byl Winroute vyvíjen jen jako bezpečnostní řešení. Poslední verze dostupná k testování je nabízena buďto formou aplikace pro počítač na platformě x86 či jako HW box. Řešení je velmi nenáročné na administrační znalosti a povědomí o sítích vůbec. Většina případných požadavků lez vyřešit pomocí přednastavených pravidel, a to včetně DMZ zón atp. Bohužel velikou nevýhodu Kerio Control spatřuji v omezené podpoře internetových prohlížečů, a to jak na konfiguraci samotnou tak na využití SSLVPN. Za celou dobu testování se mi nezdařilo připojit se pomocí tohoto protokolu, ačkoliv jsem se připojoval podporovanou verzí prohlížeče. Naopak proprietární Kerio VPN Client je dostupný pro většinu moderních operačních systémů, což částečně kompenzuje absenci PPTP či IPSec a navíc tento klient šifruje jak řídící tak datový kanál. Kerio Control lze doporučit jako řešení pro společnost, která má nasazenu firemní bezpečnostní politiku či má zájem ji aplikovat, neboť tento software nabízí i velmi zajímavé služby jako je filtrování a analýza webových přístupů či antivirus. Velmi příjemnou vlastností je licenční politika, kdy na jednoho uživatele může být vázáno až 5 IP adres. Cenová politika se odvíjí od počtu zakoupených licencí. Základní balíček včetně 5 uživatelů lze zakoupit zhruba za 6000 Kč a softwarovou podporu, včetně update programu a antivirového modulu, lze pořídit za 1500 Kč. Uživatele lze dokupovat v blocích po 5 uživatelích v ceně 576 Kč za každého. Tabulka 7 Kerio Control Výhody Nevýhody Komplexní řešení firemní sítě Proprietární VPN klient Přehledné a intuitivní GUI Cenová politika Využitelné grafické výstupy Export konfigurace Transparentnost Výborné filtrování procházeného webu Funkce pro VPN řešení: LDAP, vlastní řešení 29

30 Obrázek 7 - Kerio Control - uvodní stránka 2.3. Srovnání variant dle kritérií V této části práce se zaměřím na srovnání variant z předchozí kapitoly. Vzhledem ke skutečnosti, že se přes 8 let zabývám servery na platformě Windows, konzultoval jsem svá kritéria a zkušenosti s kolegy ze společnosti, kde pracuji. Jejich úkolem bylo vybrat vždy preferovaný protokol, případně vyplnit Fullerův trojúhelník. Tímto postupem jsem se pokusil zajistit jistou objektivitu při rozhodování. Předpokládám ovšem, že některé varianty jsou například pro čtenáře s rozsáhlejšími zkušenostmi s OS Linux předem v nevýhodě a naopak. Pro zjednodušení případné vlastní volby nabízím na následující straně - jednoduchý orientační diagram s ohledem na hlavní kritérium Pro korektnost je ovšem nutné dodat, že tento diagram je jen jednoduchou pomůckou pro výběr vlastní realizace a výrazně zjednodušuje některé skutečnosti. Například PPTP lze s úspěchem použít pro Síť-Síť a naopak IPSec lze použít i pro připojení notebooku (klienta) do vzdálené sítě a konfigurace nemusí být až tak náročná. Ostatně již zmíněný Cisco Easy VPN klient pracuje právě pomocí IPSec tunelu. 30

31 Hledisko Obrázek 8 - Rozhodovací diagram technologií Tabulka kritérií Tabulku kritérii jsem vyplnil dle svých poznatků během testování jednotlivých produktů. Nejvyšší možnou dosažitelnou hodnotou bylo vždy 5 bodů. Tabulka 8 - označení kritérií Produkt MS Windows SBS 2011 Mikrotik Kerio Control pfense bezpečnost cena přívětivost interoperabilita transparent škálovatelnost Dosažení plného počtu bodů se odvíjelo od naplnění podmínek: Bezpečnost Cena podpora všech protokoly včetně IPSec v režimu síť-síť stanovena do Kč či níže 31

32 Interoperabilita Transparentnost Škálovatelnost podpora protokolů a autorizačních standardů (LDAP,RADIUS) možnost analyzovat datový tok a činnost klientů zohlednění varianty na změnu technologie, či rozšíření Fullerův trojúhelník Metodu Fullerova trojúhelníku jsem si připomněl až později, během posuzování jednotlivých variant a hledaní klíče pro co nejobjektivnější možnost posouzení. Ačkoliv není tato metoda pro náš účel úplně vhodná, pokusil jsem se s ní během rozhodování operovat. Principem této metody je postupné srovnávání hledisek a volby důležitější varianty. Možnost stejné důležitosti hledisek jsem úmyslně vynechal. bezpečnost bezpečnost bezpečnost bezpečnost bezpečnost cena přívětivost interoperabilita transparentnost škálovatelnost cena cena cena cena přívětivost interoperabilita transparentnost škálovatelnost přívětivost přívětivost přívětivost interoperabilita transparentnost škálovatelnost interoperabilita interoperabilita transparentnost škálovatelnost transparentnost škálovatelnost Tabulka váhy kritérií Výsledným výstupem z Fullerova trojúhelníku je níže uvedená tabulka přisuzující váhu jednotlivým hlediskům dle počtu jejich výskytu. Tyto hodnoty jsou následně použity v normalizační tabulce. Některé hodnoty nás mohou překvapit. Například škálovatelnost řešení by se leckdy mohla zdát jako velmi důležitá. Ovšem, hledáme-li řešení pro jednotlivé uživatele, nepředpokládáme, že se počet vzdálených uživatelů bude v nejbližší době od realizace VPN nějak dramaticky měnit. Obecně lze říci, že vždy měla přednost bezpečnost, ať už formou zabezpečení, či ve formě transparentnosti dohledu nad uživateli. 32

33 Tabulka 9 - váha kritérií Váha hlediska Počet 0,27 bezpečnost 4 0,07 cena 1 0,2 přívětivost 3 0,13 interoperabilita 2 0,27 transparent 4 0,07 škálovatelnost 1 1 SUMA Normalizovaná tabulka kritérií Pomocí transformačního vzorce [5] jsem vytvořil normalizovanou kriteriální tabulku. Tato tabulka zobrazuje jednotlivé varianty na stupnici od 0 do 1 dle vhodnosti z pohledu daného hlediska. Bez ohledu na původní hodnoty je přisuzována nejlépe vyhovující variantě hodnota 1, a naopak té nejméně vyhovující hodnota 0. Tabulka 10 - váha kritérií produkt MS Windows SBS 2K11 Mikrotik Kerio Control pfense hledisko bezpečnost 0,5 1,0 0,5 0,0 cena 0,0 0,7 0,3 1,0 přívětivost 1,0 0,0 1,0 0,0 interoperabilita 0,7 1,0 0,7 0,0 transparent 0,0 0,5 0,5 0,5 škálovatelnost 0,0 1,0 0,5 0, Řešení Tabulka 11 prezentuje užitnost dané varianty dle zadaných kritérií a zohledňuje jejich váhu pro tento proces. Tabulka 11 Výsledné posouzení produkt MS Windows SBS 2K11 Mikrotik Kerio Control pfense hledisko bezpečnost 0,133 0,267 0,133 0,000 cena 0,000 0,044 0,022 0,067 přívětivost 0,200 0,000 0,200 0,000 interoperabilita 0,089 0,133 0,089 0,000 transparent 0,000 0,133 0,133 0,133 škálovatelnost 0,000 0,067 0,033 0,033 Výsledek variant 0,422 0,644 0,611 0,233 33

34 2.4. Zdůvodnění výběru Výsledek rozhodování mne příliš nepřekvapil. Pokud bych měl volit jen na základě svých zkušeností a poznatků získaných během testování, rozhodoval bych se mezi variantou MikroTIK a Kerio Control. Tyto varianty při zachování přijatelných nákladů nabízejí řešení, které lze v případě komplikací rychle migrovat na jiný hardware. A zároveň jsou vcelku přehledné. Ačkoliv se pfsense z počátku jevil jako horký kandidát, testování ukázalo, že se jedná stále o freeware řešení s určitým, nepříliš rozsáhlým, portfoliem služeb, které lze sice rozšiřovat či propojovat s jiným řešením, ovšem časová investice vložená do nastudování patřičných syntaxí se mi nejevila jako rentabilní. Možnosti MikroTIK jsou daleko rozsáhlejší a informační základna různých typových řešení a postupů je daleko komplexnější. Pokud jsem měl možnost srovnat VPN řešení na Windows Server a MikroTIK, oslovuje mne u Windows Server možnost spravovat uživatele přímo z hlavního serveru. Paradoxně, má představa o lepší transparentnosti Windows Server se ukázala jako mylná. Je sice možné monitorovat otevřené soubory a přístupy na informační systém, nicméně chybí komplexní nástroj pro posouzení ostatních aktivit skrze VPN. (viz kapitola 3.5) Velkou výhodu vybraného řešení spatřuji v cenové politice. Pakliže si většina malých společností vystačí s adsl linkou a ZyXELem 2 je MikroTIK RB 750 opravdu ideální volbou jak do světa VPN. 2 ZyXEL 660 nejčastěji dodávaný modem / router/ firewall pro xdsl okruhy 34

35 Praktická část 35

36 3. Realizace vybraného řešení - MikroTIK 3.1. Možností připojení k prvku Zařízení RouterBOARD lze konfigurovat jak lokálně pomocí tzv. kříženého kabelu tak vzdáleně pomocí nástrojů WinBOX, WEBfig a nástroji využívající TELNET a SSH WINBOX Ačkoliv RouterBOARDy (dále i pod zkratkou RB, či MikroTik) mají již v základu jistou konfiguraci (IP, DHCP), budeme předpokládat, že v našem případě to tak není. Pro základní konfiguraci našeho Mikrotiku budeme potřebovat nástroj Winbox, který lze získat ze stránek pod názvem Winbox Configuration Tool. Po stažení, uložení a spuštění toho nástroje, což může vyžadovat zvýšená systémová opravnění a konfiguraci firewallu, se zobrazí základní nabídka. Tuto základní nabídku se pokusím stručně popsat v následující tabulce, nicméně rozložení prvků je vcelku intuitivní. Obrázek 9 - WinBOX login Tabulka 12 popis rozhraní WinBOX Connect To: Tlačítko Login: Password: Keep Password: Secure Mode: Load Previous Session Connect Slouží k zadání cílové IP či Mac Adresy Autodetekce RB v naší síti. Uživ. jméno do systému (výchozí - admin) Systémové Heslo (výchozí - bez hesla) Umožní zapamatování hesla pro daný RB Kryptuje spojení mezi WinBox a RB Načte připojení k naposledy konf. RB Pokusí se připojení se zadanými údaji 36

37 Pro konfiguraci RouterBOARDu jej připojíme k počítači ethernetovým kabelem a vyčkáme cca 15 vteřin, dokud si operační systém nevygeneruje privátní IP adresu. Následně lze po klepnutí na tlačítko ( ) vyhledat příslušný routerboard a připojit se na jeho MAC Adresu. Obrázek 10 - WinBOX - vyhledání zařízení WinBox nás informuje o výchozí konfiguraci. Vymažeme ji tlačítkem Remove Configuration. Následně často dojde k přerušení spojení, takže zopakujeme předchozí krok. Obrázek 11 - Odstranění konfigurace 37

38 Na obrázku x je dobře patrná hierarchičnost menu nástroje WinBOX. Je zde otevřeno několik oken, kdy nejspodnější zobrazuje připojené rozhraní, okno které je o úroveň výše, pak zobrazuje IP adresy v systému a konečně poslední, aktivní okno, zobrazuje proces přidání IP adresy. Celý postup přidání IP adresy je vcelku jednoduchý. Z levého Menu vybereme: IP -> Adresses -> a stiskem červeného znaku plus přidáme adresu na patřičné rozhraní. Obrázek 12 - Adresace rozhraní Analogicky se lze pohybovat v celém konfiguračním menu. Ačkoliv je WinBOX plnohodnotným konfiguračním nástrojem, některé konfigurace je jednoduší provádět přes systémový terminál který nalezneme pod volbou New Terminal WEBfig Nástroj webfig je, co se grafického rozhraní a funkčnosti týče, shodný s WinBOXem. Zásadní rozdíl je v možnosti konfigurovat vzdálený prvek prostřednictvím webového prohlížeče. Výhodou tak je nezávislost na platformě windows. 38

39 SYSTÉMOVÁ KONZOLE Jak jsem se již zmínil, Router OS je možné konfigurovat pomocí CLI a skriptů. Tyto skripty je možné vkládat do konzole, a to buď prostřednictvím WinBOXu, nebo je možné provést vzálené připojení pomocí SSH či služby telnet. Veškeré níže uvedené konfigurace je tedy možné vkládat i pomocí nastrojů jako je PUTTY. V konzoli je možné dopňovat syntaxi pomoci tlačítka Tab. Samotná syntaxe příkazů je velmi specifická a víceméně kopíruje rozložení prvků v WinBOXu ZÁKLADNÍ KONFIGURACE Před vlastním začátkem si připomeňme, že pokud nebude uvedeno jinak, veškeré zobrazené kódy jsou vkládány přímo do terminálu prostřednictvím nástroje WinBOX. Některé nastavení lze ovšem paradoxně daleko elegantněji a jednodušeji provést přes grafické rozhraní, proto si dovolím obě metody kombinovat tak, abych případného čtenáře neodradil již v po první konfiguraci. Kompletní kódy pro nastavení lze jednoduše dohledat na přiloženém CD, či jejich alternativy na internetu. Pokud v následujícím textu budu odkazovat na proceduru přidání (rozhraní, IP adresy), je tímto myšleno využití červeného tlačítka s piktogramem PLUS. Pro demonstraci konfigurace RouterBOARDu jsem vybral následující design sítě. Přiložené schéma nám tak poslouží jako orientační bod pro následnou konfiguraci a lépe se tak budeme odkazovat na jednotlivé parametry sítě. Obrázek 13 - Design VPN řešení V této první části nastavím WAN interface, lokální síť a připojím se do této sítě pomocí protokolu PPTP. 39

40 Konfigurace rozhraní Následujícím skriptem nastavíme rozhraní na správné parametry pro ethernet a pojmenujeme je tak, jak je zvýrazněno tučným písmem. /interface ethernet set 0 arp=enabled auto-negotiation=yes disabled=no full-duplex=yes l2mtu=1526 \ mtu=1500 name=ether1_wan speed=100mbps set 1 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_lan1 speed=100mbps set 2 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_lan2 speed=100mbps set 3 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_lan3 speed=100mbps set 4 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500 name=ether2_lan4 speed=100mbps Protože by bylo zbytečné se už v počátku zaleknout dlouhých konfiguračních pasáží, tento skript lze zkrátit pouze na následující: /interface ethernet set 0 arp=enabled name=ether1_wan (analogicky lze takto pojmenovat i ostatní rozhraní) Ostatní hodnoty můžeme ponechat na výchozích hodnotách, neboť jsou shodné s těmi, které jsou uvedeny výše. Pokud bychom i přes přehlednou zkrácenou verzi raději volili grafické rozhraní, lze pojmenování provést přes volbu Interfaces. Obrázek 14 - Přidání rozhraní 40

41 Vytvoření mostu Síťový most slouží jako transparentní spojení několika rozhraní do jednoho virtuálního, se kterým poté můžeme pracovat. Rozhraní přidaná do mostu se chovají jako porty běžné Switche. Přidání mostu provedeme přes volbu Bridge. Důležité je ovšem dodržet nastavení pro ARP: Proxy ARP neboť pokud bychom tuto volbu neaktivovali, připojené stanice by nebyly dostupné pro lokální síť a naopak. Do takto vytvořeného mostu (bridge) nyní přidáme jednotlivé porty: postupujeme dle níže uvedeného skriptu analogicky pro každý daný interface. Důležité je ovšem ponechat první rozhraní mikrotiku ether0 označené jako ether0_wan mimo tento síťový most, neboť jej použijeme pro WAN připojení. /interface bridge port add bridge=bridge1 interface=ether2_lan1 add bridge=bridge1 interface=ether2_lan Konfigurace IP adres Úspěšným provedením těchto příkazů z předchozího odstavce máme nyní k dispozici RB nakonfigurovaný jako switch. V následujících bodech jen nastavíme jako Router. Nejdříve je nutné přiřadit jednotlivým rozhraním IP adresy. Je důležité zachovat syntaxi, včetně CIDR notace (/28 a /24) a adresy sítě pro jednotlivé interface. /ip address add address= /28 disabled=no interface=ether1_wan network= add address= /24 disabled=no interface=bridge1 network=

42 Konfigurace Routování Nyní nám k úspěšnému připojení RouterBOARDu do internetu zbývá poslední krok. Tímto krokem je nastavení výchozí brány. Pokud bychom v tento okamžik nahlédli do routovací tabulky, obsahovala by jedinou, dynamickou routu pro naši lokální síť. Přidáme tedy výchozí bránu dle parametrů, které máme k dispozici pro WAN připojení. V mém případě byla tato brána na adrese /ip route add distance=1 dst-address= /0 gateway= Nyní můžeme vyzkoušet správnost naší konfigurace pomocí protokolu ICMP a nástroje echo. Jak je patrné, vzdálený server nám odpovídá s velmi pěknou odezvou. [zacek@bakutik] > ping HOST SIZE TTL TIME STATUS ms ms ms Konfigurace DNS Vzhledem ke skutečnosti, že jsme dosud nenakonfigurovali protokol DNS, RouterBOARDu se nedaří dohledat adresu seznam.cz [zacek@bakutik] > ping seznam.cz while resolving ip-address: could not get answer from dns server Jednoduchým skriptem DNS korektně nastavíme. Opět zvolíme servery našeho ISP a jako třetí server doplníme například server společnosti google.com. set cache-max-ttl=1w servers= , ,

43 Konfigurace LAN sítě Z přechozí podkapitoly máme nastaveny IP adresy pro WAN i LAN rozhraní. Nyní tedy zbývá předposlední bod pro základní funkčnost. Tímto bodem je nastavení DHCP serveru pro správné přiřazení IP adresy klientským počítačům. Pro tento bod je v RouterOS jednoduchý průvodce dohledatelný pod volbou IP -> DHCP Server. Obrázek 15 - DHCP server Překlad IP adres (Source NAT) Posledním bodem v kapitole Základní konfigurace je nastavení zdrojového NATu pro data odcházející do internetu z klientů připojených do LAN sítě. Tato funkce má kromě základního bezpečnostního aspektu také jednoduchý důvod: Umožní nám připojit větší množství stanic do internetu skrze jednu veřejnou IP adresu, neboť MikroTIK u každého odchozího paketu nahrazuje zdrojovou IP adresu adresou přiřazenou pro WAN rozhraní. /ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ether1_wan 43

44 Základní zabezpečení Během předchozí kapitoly jsme úspěšně nakonfigurovali MikroTIK do stádia jednoduchého směrovače firemního routeru. Nyní se jej pokusíme alespoň základním způsobem zabezpečit. Přes volbu System -> users zobrazíme tabulku uživatelů. Vytvoříme svého vlastního, a přiřadíme patřičné oprávnění (FULL) a heslo. Následně silně doporučuji se jako tento nový uživatel přihlásit a původního uživatele admin odstranit. Obrázek 16 - Správa uživatelů Firewall prozatím necháme z testovacích důvodů otevřený, pakliže ovšem MikroTik konfigurujeme z bezpečí naší vlastní LAN sítě, můžeme ochránit alespoň administrační rozhraní RouterOS. Přidáme tedy pravidla na blokování SSH, http a WinBOX. /ip firewall filter add action=drop chain=input dst-port=22 in-interface=ether1_wan protocol=tcp add action=drop chain=input dst-port=80 in-interface=ether1_wan protocol=tcp add action=drop chain=input dst-port=8291 in-interface=ether1_wan protocol=tcp 44

45 Záloha nastavení Současný stav MikroTIKu zvolíme jako stav výchozí. Veškeré další postup budou z tohoto stavu vycházet. Abych se vyhnul opakované konfiguraci, a naopak odstraňování nevyužívaných služeb provedu zálohu nastavení. Volba Files poskytuje možnost tuto zálohu pohodlně provést pomocí patřičného tlačítka, které vygeneruje konfigurační soubor. Případná obnova lze provést pomocí výběru tohoto souboru a volby restore. Obrázek 17 - Záloha konfigurace 45

46 3.3. Konfigurace VPN Modelová situace. Pro demonstraci VPN spojení zvolím pro první situaci protokol PPTP, a jako klientský počítač použiji virtualizované Windows XP. IP adresa VPN serveru IP adresa VPN klienta Pro druhou modelovou situaci zvolím protokol IPSec PPTP s interními uživateli Prvním krokem pro nastavení PPTP na MikroTIKu je aktivování PPTP serveru. Jak je zobrazeno na obrázku 18, najdeme tuto volbu pod položkou PPP a PPTP server. Obrázek 18 - PPTP server Je vhodné si povšimnout změny MTU pro datový paket z 1500 bajtů na Tato skutečnost je následek zapouzdření jednoho paketu IP do druhého. (Viz. Strana 15.) Obrázek 19 - Zapouzdření paketu 46

47 Druhým krokem je vytvoření uživatele pro příchozí připojení. Přes záložku secrets v panelu PPP tedy vytvoříme uživatele test s heslem test. Důležitým bodem je nastavení IP adres pro PPTP klienty. Pro lokální adresu nastavíme IP ROUTERU a vzdálenou zvolíme mimo rozsah DHCP serveru. Obrázek 20 - Přidání PPP uživatele Případné dohledání připojeného klienta lze dohledat v záznamovém LOGU v mikrotiku. V následujících řádcích tedy vidíme posloupnost připojování skrze protokol PPTP. 01:47:26 pptp,info TCP connection established from :47:26 pptp,ppp,info <pptp-0>: waiting for call... 01:47:26 pptp,ppp,info <pptp-0>: authenticated 01:47:27 pptp,ppp,info <pptp-0>: connected 01:47:27 pptp,ppp,info,account test logged in, Konfigurace klienta pro připojení k PPTP se liší dle operačního systému, ale bývá to velmi intuitivně dostupná volba Pro přehlednost tedy jen odkazem:

48 PPTP s User Manager Pevné zadávání uživatelů do interní databáze je zcela jistě jednoduché, ale bohužel nepříliš elegantní řešení. Například už jen s ohledem na skutečnost, že uživatele lze přidávat pouze pod administrátorským účtem, tudíž nelze tuto činnost delegovat na jiného zaměstnance bez případného bezpečnostního rizika. Rád bych tedy předvedl využití modulu User Manager. Tento modul je de facto RADIUS server. Použitím tohoto modelu přihlašování také lehce navýšíme úrovně zabezpečení celého řešení neboť komunikace mezi modulem PPTP serveru a RADIUSu je šifrována. RADIUS (Remote Authentication Dial In User Service, česky Uživatelská vytáčená služba pro vzdálenou autentizaci) je AAA protokol (authentication, authorization and accounting - česky autentizace, autorizace a účtování) používaný pro přístup k síti nebo pro IP mobilitu. [INT 5] Usermanager je doplňkový balíček dostupný na stránkách Tento balíček umožní po stažení, rozbalení archivu a překopírovaní do složky FILES ve Winboxu využívat možnosti správy uživatelů. Obrázek 21 - Stažení a instalace usermanager Před následující konfigurací je nutné zařízení restartovat pro korektní načtení tohoto modulu. 48

49 Samotná konfigurace lze provést opět přes WinBOX, či několika krátkými příkazy. Na rozdíl od základní konfigurace, nejsou příkazy pro nastavení UserManageru již tak triviální a sebevysvětlující, proto je budu vždy pod příkazem komentovat. /ppp profile add change-tcp-mss=yes local-address= name=ppptp remoteaddress=dhcp_pool1 Vytváříme PPP profil s konfigurací IP adresy pro Router (tato zůstává stejná jako pro lokální LAN) a vzdáleným klientům necháme přiřadit IP adresu z DHCP rozsahu. Tato varianta se liší od pevně zadaných uživatelů, kteří mají vždy adresu rezervovánu /radius add accounting-port=1813 address= authentication-port=1812 secret= service=ppp timeout=3s V tomto bodě konfigurujeme samotný RADIUS. IP adresa pro komunikaci musí být uvedena z WAN rozhraní a jsem velmi překvapen skutečností, že nelze uvést adresu localhost. Bohužel toto je, zdá se, jediná funkční konfigurace. Jako SHARED KEY pro šifrování dat mezi RADIUSem a User Managerem volím jednoduché heslo , nicméně v reálném nasazení se podobným excesům samozřejmě vyvarujme Předposledním bodem pro korektní propojení zůstává nutnost přidat uživatele admin pro přístup do konfigurace rozhraní UserManager: /tool user-manager customer add login="admin" password="123456" permissions=owner Tyto údaje by ale rozhodně měly být rozdílné od těch, které jsme zvolili pro administraci routeru. 49

50 Pro správu uživatelů se nyní přihlásíme pomocí prohlížeče do rozhraní User Manageru ( Obrázek 22 - Login User Manager Po úspěšném přihlášení propojíme modul User Manager s RADIUS serverem viz obrázek 22. Použijeme údaje zadané v bodě /radius. Pro transparentnost doporučuji zapnout možnost logování veškerých požadavků na připojení. Obrázek 23 - Propojení RADIUS UserMan 50

51 V závěru tedy můžeme přidat vybrané uživatele (obr. 23) a otestovat spojení. Obrázek 24 - Grafické rozhraní User Man Klientský počítač s Windows XP je úspěšně připojen a data jsou kryptována pomocí MPPE. Obrázek 25 - Stav síťové rozhraní VPN - WinXP Pohled na vytočené VPN spojení z pohledu modulu User Manager: Obrázek 26 - Přehled připojených klentů - Mikrotik 51

52 L2TP síť síť tunel Posledním řešením, které představím na platformě MikroTIK je L2TP VPN. Tento tunel nepoužívá šifrování IPSec, jak bývá zvykem, ale jednoduší MPPE. Konfigurace je tak výrazně jednodušší, ale lze realizovat jen oproti zařízení MikroTIK. Konfiguraci pomocí skriptů již nebudu uvádět, ale naopak využiji obrázek 26 k popisu směrování paketů v těchto tunelech. Obrázek 27 Design sítě založené na L2TP Princip sestavení tunelu je velmi podobný PPTP, kdy jedna strana je volající a druhá volaná. Po spojení a vzájemné autentifikaci a autorizaci je tunel korektně nastaven pro protokol IP. Jsou nastaveny adresy pro oba konce tunelu a nastaveny routy pro vzdálené sítě. Pokud se tedy počítač v síti LAN 1 rozhodne komunikovat s PC v sítí LAN 2, cesta paketů bude následující: PC1 sestaví paket a nahlédne do své routovací tabulky 3, protože cíl zcela jistě nedohledá, zašle paket na výchozí bránu ( ). Výchozí brána opět pomocí routovací tabulky vyhodnotí, že cílová adresa se nachází na rozhraní L2TP a zašle paket na vzdálený prvek (IP ). Tento router již velmi pravdě podobně zná PC s patřičnou IP adresou, takže paket dle MAC adresy doručí do cílové stanice. Cílová stanice po analýze paketu zjistí, že zdrojová IP se nenachází ve stejném segmentu jako ona samotná, a proto paket s odpovědí zašle na svoji výchozí bránu. Dále společná komunikace postupuje opět dle jednotlivých bodů, dokud není spojení ukončeno. 3 Viz tabulka 2 na straně 15 52

53 3.4. Datová propustnost versus šifrování V této předposlední kapitole se zaměřím na zajímavé hledisko pro VPN, které jsem zmínil v teoretické části. Během testování jednotlivých variant jsem se často zamýšlel nad maximální možnou propustností VPN sítě. Během své praxe jsem se již setkal s řešením, které bohužel nedokázalo obsluhovat mnoho současných připojení od klientů, ačkoliv rychlost linky nebyla nijak závratná pohybovala se v řádu MB/s. Testování jsem provedl na prvku: RouterBOARD Mhz ATHEROS CPU & 32 MB RAM a konektivitě: 100 Mbps Full-Duplex CAT 5E EtherNet Obrázek 28 - Srovnání rychlosti připojení v závislosti na šifrování Průběh měření: DUPLEX 4 - SIMPLEX 5 DUPLEX SIMPLEX Metoda testovaní: Generování náhodných TCP paketů o velikosti 1500 B. Nejprve duplexní přenos, později střídavé testování jednoho a druhého směru. Průběh testování mne překvapil, neboť zařízení podávalo rovnoměrný výkon, až do plného vytížení CPU, a ačkoliv nedisponuje kryptografickým čipem, bylo schopno 4 Duplexní přenos vytíženy oba přenosové směry 5 Simplexní přenos vytížen vždy pouze jeden směr. 53

54 vygenerovat až 50Mbps. Pro objektivitu ovšem dodávám, že použitý algoritmus RC4 nepatří k nejsilnějším a je určen pro rychlé šifrování v reálném čase Transparentnost RouterOS pro dohled nad probíhajícím provozem nabízí zajímavé metody. Delším používáním lze dojít i k názoru, že nejlepší formou dohledu je surový výstup integrovaného monitorovacího nástroje. Nabízí pohled na vytvořená spojení a zdrojové resp. cílové IP. Na obrázku 27 je například dohledatelné, že využívám vzdálenou plochu RDP, ICMP nástroj PING a počítač provádí na pozadí DNS dotaz. Tato data lze samozřejmě analyzovat do grafické podoby a poskytnout z nich ucelený výstup. Obrázek 29 - Probíhající provoz na VPN 54