background image

 

Sieci VPN – SSL czy IPSec? 

 

Powody zastosowania sieci VPN: 

 

Geograficzne  rozproszenie  oraz  duŜa  mobilność  pracowników  i 
klientów przedsiębiorstw i instytucji, 

 

Konieczność  przesyłania  przez  Internet  danych  o  charakterze 
poufnym. 

Dostępne rozwiązania: 

 

Wirtualna  sieć  prywatna 

IPSec  VPN 

–  umoŜliwia  implementację 

pełnej gamy protokołów i usług sieciowych, 

 

Wirtualna sieć prywatna 

SSL VPN 

- zwana równieŜ siecią VPN „bez 

klienta” (ang. „clientless” VPN). 

Wybór  konkretnego  typu  sieci  VPN  zaleŜny  jest  od  specyficznych 
wymagań. Często stosuje się oba rozwiązania z uwagi na uzupełnianie się 
właściwości  dostępu 

SSL 

oraz 

IPSec

.  Bezpieczeństwo  połączenia 

generalnie zapewniają mechanizmy: 

 

Kontroli dostępu, 

 

Firewalling, 

 

Sieci prywatne VPN. 

Sieć IPSec VPN: 

 

Składa  się  zwykle,  z  co  najmniej  jednej 

bramy  VPN

,  słuŜącej  do 

terminowania szyfrowanych połączeń IP, zestawionych między siecią 
Internet a siecią lokalną, 

 

Odpowiednie 

oprogramowania klienta 

musi być zainstalowane na 

kaŜdym komputerze będącym zdalnym punktem dostępowym (klient 
IPSec VPN moŜe być konfigurowany manualnie lub automatycznie). 

 

Konfiguracja klienta definiuje: 

o

 

Typ pakietów, które będą szyfrowane, 

o

 

Parametry bramy uŜywanej do zestawienia tunelu VPN. 

background image

 

W  przypadku  sieci  VPN  typu  „site-to-site”  moŜliwa  jest  współpraca 
rozwiązań od róŜnych dostawców sprzętu. 

 

VPN IPSec moŜna stosować takŜe w architekturze „klient  - serwer”, 
co  jednak  utrudnia  kooperację  rozwiązań  od  róŜnych  dostawców  z 
uwagi  na  liczne  rozszerzenia  standardu  IPSec,  wspierające  m.in. 
translację adresów IP - NAT. 

 

IPSec to stabilny i dobrze rozpowszechniony standard, zapewniający 
bardzo silne szyfrowanie oraz ochronę integralności danych. 

 

Funkcjonuje  w  warstwie  sieciowej  (III  w.  ISO/OSI),  zatem  działa 
niezaleŜnie od wykorzystującej go aplikacji. 

 

IPSec hermetyzuje oryginalny pakiet IP za pomocą własnego pakietu 
(enkapsulacja),  ukrywając  w  ten  sposób  wszelkie  informacje 
protokołu aplikacji. 

 

Tunel  IPSec  umoŜliwia  obsługę  dowolnej  ilości  róŜnych  połączeń 
(

HTTP,  FTP,  SMTP/POP,  VoIP 

etc.)  przechodzących  przez  bramę 

VPN. 

Sieć SSL VPN: 

 

SSL  to  bezpieczny  protokół  transportowy,  wykorzystywany  szeroko 
do  zapewnienia  poufności  i  bezpieczeństwa  transakcji  (bankowość, 
e-commerce etc.) 

 

Powszechnie  stosowany  w  połączeniu  z  protokołem 

HTTP

  –  jako 

HTTPS

.  MoŜe  być  jednak  takŜe  implementowany  razem  z 

FTP, 

SMTP,  POP 

i  innymi  znanymi  protokołami  usług  sieciowych, 

uŜywając do transportu protokołu TCP. 

 

Sieci  SSL  VPN  nazywane  są  (nieprecyzyjnie)  sieciami  „bez  klienta” 
(ang.  ‘clientless’),  gdyŜ  do  pracy  z  protokołem  HTTPS  uŜywa  się 
zwykłych  przeglądarek  internetowych,  które  powszechnie  obsługują 
protokół SSL bez konieczności instalacji dodatkowych plugin-ów czy 
oprogramowania klienckiego (inaczej niŜ w IPSec). 

 

sieciach 

SSL 

VPN 

moŜna 

takŜe 

stosować 

rozwiązania 

umoŜliwiające 

zdalnemu 

komputerowi 

tunelowanie 

ruchu 

pochodzącego  za  pomocą  tzw.  wtyczki  (ang.  „plug-in”)  do 
przeglądarki 

internetowej 

(zamiast 

dedykowanego 

oprogramowania). Po uwierzytelnieniu uŜytkownika na portalu WWW 
- bramie sieci SSL VPN – i pobraniu wtyczki (formantu ActiveX’a lub 
agenta  Java’y),  ruch  między  klientem  a  serwerem  jest  tunelowany 

background image

przez  protokół  SSL.  Rozwiązania  te  róŜnią  się  zakresem 
obsługiwanych aplikacji (wada). 

 

We  wstępnej  fazie  połączenia  (przed  nawiązaniem  połączenia 
właściwego) negocjowane i weryfikowane są: 

o

 

Uwierzytelnienie 

serwera 

przez 

klienta 

odwrotnie 

(opcjonalnie) za pomocą certyfikatów cyfrowych, 

o

 

Bezpieczne  wygenerowanie  kluczy  sesji  do  szyfrowania  oraz 
weryfikacji integralności danych. 

 

Protokół SSL moŜe uŜywać róŜnych algorytmów: 

o

 

Generowania kluczy publicznych (RSA, DSA), 

o

 

Generowania symetrycznych kluczy, słuŜących do szyfrowania 
połączenia właściwego (DES, 3DES, RC4), 

o

 

Algorytmów kontroli integralności danych (MD5, SHA-1).  

 

WdroŜenie  bezpiecznego  dostępu  SSL  moŜe  zostać  zrealizowane  z 
zastosowaniem: 

o

 

Serwerów  bezpośrednio  wykorzystujących  oprogramowanie 
SSL  (samodzielnie  terminują  tunele  IPSec  do  zdalnych 
uŜytkowników). 

o

 

Bram VPN, terminujących tunele IPSec zdalnych uŜytkowników 
i przekazując informacje dalej do serwerów w sieci lokalnej w 
postaci niezaszyfrowanej.  

 

 

 

 

 

 

 

 

 

background image

Porównanie IPSec VPN oraz SSL VPN: 

Właściwość VPN 

IPSec 

SSL 

Dostępność 

aplikacji 

Wszystkie aplikacje IP 

Głównie WWW (HTTPS) 

Wymagane 

oprogramowanie 

Klient IPSec 

Przeglądarka internetowa 

Udostępnianie 

informacji 

Tylko komputery z odpowiednim 

oprogramowaniem i konfiguracją 

Dostęp z dowolnego komputera 

(mało bezpieczne) 

Poziom 

bezpieczeństwa 

Dość wysokie (zaleŜnie od 

oprogramowania i konfiguracji) 

Średnie (wymaga dedykowanego 

oprogramowania u klienta) 

Skalowalność 

Wysoka 

Wysoka 

Metody 

uwierzytelniania 

Wiele - takŜe infrastruktura 

klucza publicznego (PKI) 

Wiele - takŜe PKI 

Dodatkowe 

aspekty 

MoŜe podnosić bezpieczeństwo 

stacji po zastosowaniu 

osobistego firewall'a. 

Ograniczona kontrola dostępu do 

informacji, dobre przy dostępie do 

mniej poufnych informacji 

Rekomendacja 

Bezpieczny dostęp dla 

pracowników zdalnych i 

odległych segmentów logicznie 

wspólnej sieci 

Bezpieczny dostęp zewnętrznych 
klientów za pomocą przeglądarki 

WWW 

Obsługa wszystkich usług i 

protokołów opartych o IP 

Zintegrowany ze wszystkimi 

przeglądarkami 

To samo rozwiązanie dla 

połączeń: 

client-to-site, 

site-to-site, 

client-to-client. 

Popularne klienty i serwery 

pocztowe obsługują SSL 

Klient IPSec umoŜliwia uŜycie 

innych funkcji bezpieczeństwa 

(osobisty firewall, kontrola 

konfiguracji) 

Przezroczysty dla proxy, NAT i 

zapór przepuszczających SSL 

Zalety 

Bramy VPN standardowo 

integrowane z profesjonalnymi 

zaporami sieciowymi 

Rozszerzenia przeglądarki 

umoŜliwiają aplikacjom klient-

serwer łączność z uŜyciem SSL 

Konieczna instalacja aplikacji 

klienckiej, dedykowanej dla 

danego OS 

Obsługuje jedynie podstawowe 
usługi TCP (HTTP, SMTP/POP3) 

Firewall'e i inne urządzenia 

między klientami i bramą VPN 

mogą uniemoŜliwiać zestawianie 

połączeń 

Wymaga od bramy uŜycia większej 

ilości zasobów obliczeniowych 

MoŜliwe trudności we 

współpracy: klient-brama od 

róŜnych dostawców 

Klient (przeglądarka, poczta) nie 

posiada dedykowanego 

oprogramowania (zapora, kontrola 
integralności), co moŜe ograniczać 

bezpieczeństwo 

Wady 

  

Sesje SSL nie terminowane na 

poziomie firewall'a wymagają 

tworzenia "dziur" w zaporach, 

przez które przechodzi tunel, co 
uniemoŜliwia kontrolę danych w 

połączeniach HTTPS 

background image

  

Rozszerzenia przeglądarek mogą 

obsługiwać ograniczoną liczbę 
aplikacji (kompatybilność) lub 

wymagać uprawnień 

administratora 

  

Brak moŜliwości implementacji 

sieci "site-to-site VPN" 

(standardowo uŜywany IPSec)