Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky

Vyšší odborná škola informačních služeb v Praze

Ondřej Žáček

Virtuální privátní síť pro malé a střední firmy

Bakalářská práce

2011

Zadávací list

Prohlášení

Prohlašuji, že jsem bakalářskou práci na téma Virtuální privátní síť zpracoval

samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury

V Praze dne Podpis

Poděkování

Prostřednictvím této práce bych chtěl poděkovat Ing. Davidovi Klimánkovi Ph.D. za

nasměrování a pomoc s tématem. Dále bych chtěl poděkovat kolegům působících ve

společnosti New Telekom spol. s r.o. za ochotu odpovídat na mé dotazy ohledně

kritérií pro posouzení řešení.

Abstrakt

Tato bakalářská práce se zabývá problematikou virtuálních privátních sítí ve

společnostech do 25 zaměstnanců, a to především ve smyslu klient-server

architektury. V teoretické části definuji požadavky kladené na VPN, specifikuji

použitelné technologie, a následně nastíním výběrová kritéria. Pomocí těchto kritérií

posoudím vhodnost navržených řešení vícekriteriálním rozhodováním a vybranou

variantu následně realizuji.

Abstract

This thesis deals with issues of Virtual Private Networks in companies up to 25

employees, especially focused on client-network solutions. In the theoretical part,

I define requirements imposed on VPN, I specify applicable technologies and

subsequently, I sketch selection criteria. Using these criteria, I will pass judgment on

the suitability of the suggested solutions by multicriterial decision making and

implement the chosen variant.

Obsah

Slovo úvodem ................................................................................................................................ 8

1. Analýza informací k výběru VPN .................................................................................... 10

1.1. Definice VPN ............................................................................................................................ 10

1.2. Proč volit VPN? ....................................................................................................................... 10

1.3. Co lze očekávat od VPN sítě ............................................................................................... 11

1.4. Rozdělení VPN dle struktury ............................................................................................ 12

1.4.1. Klient - Síť ........................................................................................................................ 12

1.4.2. Klient – Server................................................................................................................ 13

1.4.3. Síť – Síť ............................................................................................................................. 13

1.5. Rozdělení VPN dle platformy ............................................................................................ 14

1.6. Protokoly využívané pro VPN........................................................................................... 14

1.6.1. Protokoly TCP-IP .......................................................................................................... 15

1.6.2. PPTP Protokol ................................................................................................................ 16

1.6.3. L2TP ................................................................................................................................... 17

1.6.4. IPSec................................................................................................................................... 18

1.6.5. SSL VPN ............................................................................................................................ 18

1.6.6. Orientační porovnání VPN technologií ................................................................ 19

2. Výběr VPN řešení ............................................................................................................. 20

2.1. Požadavky a kritéria kladené na VPN............................................................................ 20

2.1.1. Bezpečnost ...................................................................................................................... 20

2.1.2. Škálovatelnost ................................................................................................................ 22

2.1.3. Interoperabilita ............................................................................................................. 22

2.1.4. Přívětivost ....................................................................................................................... 23

2.1.5. Cena .................................................................................................................................... 23

2.2. Varianty a typová řešení pro VPN síť ............................................................................ 23

2.2.1. Microsoft Windows SBS 2011 Standard .............................................................. 24

2.2.2. MikroTik ........................................................................................................................... 26

2.2.3. Pfsense .............................................................................................................................. 27

2.2.4. Kerio Control .................................................................................................................. 29

2.3. Srovnání variant dle kritérií .............................................................................................. 30

2.3.1. Tabulka kritérií .............................................................................................................. 31

2.3.2. Fullerův trojúhelník ..................................................................................................... 32

2.3.3. Tabulka váhy kritérií ................................................................................................... 32

2.3.4. Normalizovaná tabulka kritérií ............................................................................... 33

2.3.5. Řešení ................................................................................................................................ 33

2.4. Zdůvodnění výběru............................................................................................................... 34

3. Realizace vybraného řešení - MikroTIK .................................................................. 36

3.1. Možností připojení k prvku ............................................................................................... 36

3.1.1. WINBOX ............................................................................................................................ 36

3.1.2. WEBfig .............................................................................................................................. 38

3.1.3. SYSTÉMOVÁ KONZOLE .............................................................................................. 39

3.2. ZÁKLADNÍ KONFIGURACE ................................................................................................ 39

3.2.1. Konfigurace rozhraní .................................................................................................. 40

3.2.2. Vytvoření mostu ............................................................................................................ 41

3.2.3. Konfigurace IP adres ................................................................................................... 41

3.2.4. Konfigurace Routování ............................................................................................... 42

3.2.5. Konfigurace DNS ........................................................................................................... 42

3.2.6. Konfigurace LAN sítě ................................................................................................... 43

3.2.7. Překlad IP adres (Source NAT) ............................................................................... 43

3.2.8. Základní zabezpečení .................................................................................................. 44

3.2.9. Záloha nastavení ........................................................................................................... 45

3.3. Konfigurace VPN .................................................................................................................... 46

3.3.1. Modelová situace. ......................................................................................................... 46

3.3.2. PPTP s interními uživateli ......................................................................................... 46

3.3.3. PPTP s User Manager .................................................................................................. 48

3.3.4. L2TP síť – síť tunel ....................................................................................................... 52

3.4. Datová propustnost versus šifrování ............................................................................ 53

3.5. Transparentnost .................................................................................................................... 54

4. Závěr práce ........................................................................................................................ 55

Seznam použitých zkratek a pojmů ................................................................................... 56

Seznam obrázků ........................................................................................................................ 57

Seznam použité literatury a zdrojů .................................................................................... 58

8

Slovo úvodem

Téma práce jsem si vybral, jelikož mne před několika lety oslovili rozsáhlejší

sítě a především větší privátní sítě, které jsem realizoval během své praxe. Ačkoliv

jsou informace ohledně virtuálních sítí dostupné v mnoha publikacích, zjednodušený,

ale ucelený soupis informací vhodných pro začínající administrátory či správce

menších sítí se mi nepodařilo dohledat. Rád bych si tedy jako cíl stanovil pokusit se

touto prací nabídnout jistou alternativu k rozsáhlým popisům konfigurace IPSec

tunelů a poskytnout nepříliš komplikovaný dokument pro vstup do světa VPN sítí.

S pojmem virtuální síť se setká nejspíše každý, kdo pracuje v ICT nebo

v jakémkoliv z mnoha příbuzných odvětví, a to nejpozději v okamžiku, kdy mu bude

nabídnuta možnost tzv. Home Office - tedy možnost pracovat z pohodlí domova bez

zbytečných cest. Notebook dotyčného bude nastaven tak, aby (po připojení) mohl

pohodlně pracovat odkudkoliv. Ostatně i autor textu v době psaní této práce

neuchovává ani bajt textu na svém laptopu, ale pracuje se souborem bezpečně

uloženým na diskovém poli kdesi v housingovém centru. A právě tato možnost,

využívat vzdálené a mnohdy nákladné zdroje prakticky odkudkoliv, činí tyto sítě tak

zajímavé. Virtuální privátní sítě jsou dnes využívány v širokém spektru odvětví od

informatiky, průmyslu, obchodu až po žurnalistiku. Jsou používány především tam,

kde je potřeba využívat prostředků či zdrojů, které jsou umístěny na jiném místě, než

se nachází daný uživatel. Virtuální sítě tak slouží jako tunel či spojnice mezi

uživatelem a jeho domovem či kanceláří, přičemž nezáleží na umístění uživatele, ale

pevným a neměnným bodem je v tuto chvíli "volaná strana". Přesněji řečeno jedná se

o souhrn protokolů sloužících k vytvoření šifrovaného spojení mezi např.

notebookem uživatele a sítí jeho zaměstnavatele tak, aby dotyčný mohl pracovat, jako

by byl fyzicky přítomen v dané lokalitě. Může tak například využívat firemní

informační systém, groupware či dokumenty uložené na datovém skladu své

společnosti. Toto tunelované spojení se typicky realizuje prostřednictvím veřejného

internetu, a veškerá komunikace probíhající tímto spojem je proto šifrována. Lze tedy

docílit stavu, kdy takto spojené počítače mezi sebou komunikují tak, jako by byly

součástí jedné lokální sítě, a ačkoliv tak činí skrze nezabezpečený veřejný internet, je

možné veškerou komunikaci považovat za rozumně zabezpečenou.

9

Jak už téma práce napovídá, zaměřím se především na virtuální sítě pro menší

společnosti, tudíž se částečně oprostím od VPN sloužících pro propojení více

geograficky oddělených poboček jedné společnosti. V první části práce se zaměřím na

popis protokolů, seznámení s technologiemi, formulování požadavků na tyto

a specifikaci nutného SW a HW vybavení pro danou problematiku. Dále pak čtenáře

seznámím s kritérii pro hodnocení. Pro simulaci reálné společnosti použiji

virtualizované Windows Small Business Server 2011 a dále zařízení od společnosti

MikroTik. Jako alternativní řešení pak produkt společnosti Kerio a freeware odnož

BSD – pfsense. V další části již srovnám výhody, či nevýhody řešení, které tyto

technologie nabízí a setřídím je podle schopnosti vyhovět stanoveným požadavkům

pomocí vícekriteriálního rozhodování. Následně zdokumentuji využití toho řešení,

které splní nejvíce požadavků stanovených na počátku práce.

Forma této práce lze kvalifikovat jako interpretace, neboť během realizace budu

simulovat a analyzovat síťovou komunikaci v imaginární společnosti, a později

posuzovat (dle stanovených kritérií - např. náročnost realizace, nabízené služby)

jednotlivé varianty. Předpokládám, že nejdelší a nejtěžším úsekem bude konfigurace

VPN bodů a klientských stanic. Testování bude probíhat na vlastních síťových

prvcích, či na zařízeních zapůjčených společností, ve které jsem realizoval povinnou

praxi. Tato společnost se zabývá především telekomunikacemi a poskytováním

kompletních síťových řešení.

Mnoho termínů uváděných v této práci bohužel postrádá český předklad, případně tyto termíny

přeloženy jsou, ale překlad se v praxi nepoužívá (směrovač, přepínač). Proto na stránce 56 uvádím

seznam zkratek a pojmů

10

1. Analýza informací k výběru VPN

V první části této práce bych rád předestřel základní informace, se kterými je vhodné

se seznámit před samotným testováním, výběrem a realizací řešení.

1.1. Definice VPN

Definice VPN dle konsorcia VPNC:

Virtual Private Network (VPN) je privátní datová síť, která využívá veřejné

telekomunikační infrastruktury a zajišťuje soukromí pomocí tunelovacích protokolů

a bezpečnostních procedur. [INT 1]

VPN je tedy možné definovat jako soukromé logické spojení vyhrazené

autorizovaným osobám pro připojení ke vzdáleným zdrojům. Toto spojení je

realizováno prostřednictvím veřejného internetu či WAN sítí lokálních ISP. Na obou

koncích tohoto logického spoje se nachází patřičně nakonfigurovaný hardware

a/nebo software, který zajištuje celý proces zapouzdření, šifrováni a tunelování.

1.2. Proč volit VPN?

Stěžejní okamžik pro zavedení VPN do rozrůstající se společnosti nastane většinou ve

chvíli, kdy dojde k havárii serveru, či jen pouhé nedostupnosti nějaké služby,

a správce IT v této společnosti se nachází na dovolené, či je jiným způsobem

nedostupný. Nastávají pak situace, kdy se v IT nejzběhlejší zaměstnanec v sídle

společnosti snaží (patřičně instruován po telefonu) například obnovit data

z RAIDového pole, restartovat služby na serveru atp. Ovšem, důvodů pro zavedení

VPN do jakékoliv společnosti je mnoho a nemusí být nutně předcházeny katastrofou.

Rád bych tedy nastínil alespoň základní body proč se vydat touto cestou.

Univerzálnost - VPN není omezená pouze na jednu danou službu

Škálovatelnost - možnost rozšiřovat počet připojených klientů dle přání

Dostupnost - zaručený přístup ke všem zdrojům ve vzdálené lokalitě

Vzdálený přístup - zaměstnanci společnosti mohou přistupovat odkudkoliv

Zapouzdření - mohou být zapouzdřeny i služby jako IPX

Kontrola - možnost monitorování přístupů vzdálených klientů

11

Jak je patrné z těchto bodů, veškeré výhody vycházejí ze základní myšlenky umožnit

ověřenému uživateli pracovat odkudkoliv prostřednictvím stávajících připojení

lokálních ISP či veřejného internetu. Pro lepší představu o případném využití VPN si

představme síť společnosti s centrálou v Praze a pobočkou v Brně. Tato síť má

několik desítek pevných uživatelů a několik zaměstnanců, kteří pravidelně cestují po

Čechách. V případě že tato společnost používá například ekonomický systém Pohoda

či Money S3 nastává otázka, jak umožnit těmto cestujícím zaměstnancům přistup do

systémů společnosti při zachování patřičného zabezpečení a zároveň nízkých

nákladů. Pakliže zároveň vezmeme v potaz nutnost propojit síť obou poboček do

jednoho segmentu, jeví se VPN jako ideální volba.

1.3. Co lze očekávat od VPN sítě

Každý manažer, majitel společnosti či zákazník má jistá specifika, která se promítnou

v očekávání do nově nasazované technologie. Pokusím se seřadit několik klíčových

vlastností těchto sítí, abychom se vyhnuli případným nenaplněným očkováním

a nejasnostem.

Většina VPN je ideálním řešením pro vzdálený přístup, pomoc uživatelům či zvýšené

zabezpečení pro přístup k firemní síti a informačním systémům. Je ovšem důležité

dopředu plánovat jaké programy budeme vzdáleně obsluhovat, neboť lze obecně říci,

že až na výjimky jsou VPN:

Pomalejší než LAN

Méně spolehlivé než LAN

Hůře monitorovatelné pro firewally

Z uvedených bodů tedy vyplývá, že očekávat možnost zálohování jednoho serveru

skrze VPN na pobočku v jiné lokalitě by bylo velmi nerozumné. Stejně tak i případné

využití ekonomického systému, který by byl spouštěn skrze VPN, je na hranici

použitelnosti. Naopak vzdálená plocha na terminálový server, klient aplikace

využívající SQL, či intranetová aplikace postavená na HTTP jsou ideální kandidát pro

využití této technologie.

12

1.4. Rozdělení VPN dle struktury

Sítě VPN lze rozdělit do tří typů dle logického členění: klient - síť, síť - síť, klient -

server. Ačkoliv se v této práci budu zaobírat převážně architekturou klient – síť,

považuji za vhodné seznámit případného čtenáře se všemi možnými variantami. Je

totiž velmi pravděpodobné, že základní myšlenka o připojování samostatných

pracovníků se postupně rozvine na celkové více-pobočkové řešení. S ohledem na

skutečnost, že zdaleka ne všechny protokoly, o kterých se zmíním, jsou ideální na

propojení více sítí, je tedy vhodné již předem posoudit volbu správného protokolu

pro realizaci sítě. Obecně lze říci, že pro všechny varianty VPN sítě platí následující

tabulka.

Tabulka 1 – Vliv časové prodlevy na použitelnost spojení

Odezva na vzdálený bod Použitelnost

<10 ms Excelentní (VoIP hovory)

<50 ms Výborná (RDP a ONLINE aplikace)

<100 ms Použitelná (email, informační systém)

>100 ms Nekomfortní využití i pro http aplikace

1.4.1. Klient - Síť

Obrázek 1 - Klient – síť

Jak design na obrázku 1 napovídá, jedná se o časté řešení. Umožňuje využití většiny

firemních prostředků, jako je interní informační systém, CRM, správa dokumentů, tisk

a jiné. Všechny počítače, včetně vzdálených stanic připojených do VPN se chovají tak,

jakoby byly součástí jednoho síťového segmentu. Hlavní benefit tohoto řešení spatřuji

v možnosti vzdáleného přístupu ke stanicím v lokalitě, což je ideální varianta, pokud

společnost nechává své ICT zdroje outsourcovat. Výhodou pro tyto společnosti je fakt,

že outsourcingové organizace si často za vzdálenou pomoc přes VPN účtují jinou –

řádově nižší sazbu než za výjezd technika. Bohužel, jak jsem během praktické části

zjistil, ne všechna typová řešení s touto variantou klient – síť počítají.

13

1.4.2. Klient – Server

Obrázek 2 - Klient – Server

Klient – server je asi nejvíce zastoupené řešení. Benefit spočívá ve využití bezpečnosti

VPN k realizaci citlivých operací. Prostředky, použitelné pro klienta, jsou ovšem

omezeny pouze na jediný server. Tato varianta je často používána v bankovním

sektoru, kdy zákazník pomocí clientless SSL - VPN ovládá svůj účet přes běžný

internetový prohlížeč. Bohužel využití služeb je vzhledem k omezení dnešních

prohlížečů dosti omezeno. Nicméně, například společnost Microsoft Inc. nabízí velmi

silné řešení na bázi SSL - VPN - Microsoft Web Access, kdy je Internet Explorer

schopen zobrazit i plochu vzdáleného serveru.

1.4.3. Síť – Síť

Obrázek 3 - Síť - Síť

Nejmohutnější a nejkomplexnější možná varianta. Jedná se v podstatě o privátní síť,

která je ovšem – s ohledem na náklady- realizována po síti partnera. Toto řešení je

ideální volbou všude tam, kde je potřeba spolupracovat a komunikovat v jednotném

celku bez ohledu na geografickou pozici zaměstnanců. Tato varianta je tedy vhodná

například pro vysoké školy s několika fakultami, ale hlavně pro společnosti

s obchodním zastoupením na několika kontinentech. Dnes již je běžnou praxí, že se

ICT oddělení velké korporace nachází například v Indii (Dell, Microsoft), kde je

dostatek kvalifikovaných odborníků a zároveň nižší mzdové požadavky.

14

1.5. Rozdělení VPN dle platformy

Řešení VPN lze rozdělit dle zvolené platformy. Obecně lze říci, že hardwarové řešení

je výkonnější co do prostupnosti a schopnosti kryptování, neboť některé dražší

zařízení jsou vybavovány čipy pro akceleraci šifrování.

Softwarové VPN

Do této kategorie například spadá produkt společnosti Microsoft –

serverový systém pro SMB sektor - Windows Server 20xx Small Business.

Softwarové řešení lze považovat za levnější a dostupnější variantu, ačkoliv

nelze říci, že by nutně bylo variantou horší. Díky nativní podpoře

základních tunelovacích protokolů ve většině moderních operačních

systémů ani není nutné investovat do software třetích stran.

Hardwarové VPN

Hardwarové řešení je nákladnější, leč výkonnější řešení. Zákazník

nákupem získá „blackbox“, který často kombinuje schopnosti routeru,

firewallu a VPN koncentrátoru. Tyto síťové prvky jsou většinou vybaveny

čipy se specializací na kryptování, takže datová i paketová prostupnost

může být i řádově větší než u softwarové varianty. Nejčastěji se lze setkat

s výrobky společnost Cisco Systems, Juniper, 3Com, či MikroTik.

1.6. Protokoly využívané pro VPN

Protokolů určených pro VPN je velké množství, a protože práce je zaměřena obecně

na menší sítě, dovolím si vynechat technologie VLAN, MPLS či OpenVPN, ačkoliv

poslední ze jmenovaných je de facto jen SSL-VPN použitelnou pro Sít-Síť spoje. V této

kapitole se zaměřím na protokoly, se kterými se lze běžně setkat, uvedu základní

informace a pokusím se rozebrat jejich výhody a nevýhody pro nasazení. Předem

bych ale případného čtenáře upozornil, že jakékoliv jiné porovnání, než pouhé

srovnání faktů, je vždy velmi subjektivní a mnoho síťových expertů by jistě tvrdě

prosazovalo právě OpenVPN, či SSH2 jako ideální protokol pro menší a středně velké

společnosti.

15

1.6.1. Protokoly TCP-IP

Protokoly TCP-IP samozřejmě neslouží primárně pro VPN, ale pro směrování

a přenos paketů. Nicméně abychom dobře interpretovali jednotlivé VPN standardy, je

vhodné si připomenout základní filozofii IP protokolu, který je používán pro přenos

paketů po internetu. Pro téma této práce nám postačí vybrané body z TCP-IP:

Síťový model & síťový paket

Přestože je model OSI bezesporu nejpopulárnější, není ani jediným ani prvním

síťovým modelem. Ve skutečnosti je pravdou, že přibližně o jednu celou dekádu

dříve, než model OSI byl vyvinut model amerického ministerstva obrany DoD –

často se mu také říká model TCP/IP. [1] Pro názornost si tedy vystačíme

s modelem DoD, často označovaným jako model TCP/IP, který je jednoduší a

přehlednější.

Diagram 1 - model DoD

DATA Aplikační vrstva

TCP Hlav. TCP data Transportní vrstva

IP Hlav. IP DATA Síťová vrstva

Hlav. rámce IP paket zápatí Spojová vrstva

*Hlav. = Hlavička

Na tomto modelu je dobře patrné postupné zapouzdření dat do rámce, o

kterém se ještě zmíním v části práce věnované PPTP protokolu.

Směrování IP adres

Zaručuje, že naším počítačem vytvořená paket dostane do koncového počítače.

Pro názornost jednoduchá routovací tabulka z autorova domácího routeru:

Tabulka 2 – Příklad Routování

# Cílová síť Brána v síti Interface

0 0.0.0.0/0 86.49.103.1 WAN

1 86.49.103.0/24 86.49.103.54 WAN

7 192.168.66.0/24 192.168.66.101 SWITCH

8 192.168.77.0/24 192.168.66.101 <l2tp-VPN_DARI>

9 192.168.10.0/24 192.168.66.101 <pptp-VPN_NT>

10 192.168.88.100/32 192.168.66.101 <l2tp-VPN_SPEED>

16

Postup pro pochopení routovacích pravidel je jednoduchý. Software na

routeru prochází jednotlivá pravidla a propočítává dle cílové adresy paketu,

jestli je možné zaslat paket do odpovídající sítě. Pokud nenajde příslušnou síť,

zašle paket na IP adresu své výchozí brány. Tento postup je hierarchicky

škálovatelný zpravidla až do hraničních routerů ISP, kde probíhá směrování již

pomocí protokolu BGP. Při konfiguraci VPN se můžeme setkat s dvěma

odlišnými přístupy, kdy první preferuje umístění vzdálených klientů do jiného

subnetu, než ve kterém nachází lokální síť.

VPN klienti v jiném subnetu

Tento pohled nabízí o úroveň lepší zabezpečení, ale je nutné přesměrovávat

veškerý provoz z VPN a do VPN. Tento pohled je také jediný správný, pokud

naše síť obsahuje více počítačů.

VPN klienti v stejném subnetu

Tato možnost může být chápána jako nepřijatelná z bezpečnostního hlediska,

či dokonce nepřijatelná s ohledem na počet počítači v síti. Je pravdou, že tato

varianta zasílá broadcast požadavky i na adresy VPN klientů a v rozsáhlejších

sítích tak může dojít k výraznému zpomalení. Jedinou výhodou tak zůstává

jednoduší konfigurace a transparentnost sítě pro stanice s OS Windows.

1.6.2. PPTP Protokol

PPTP byl vyvinut společnostmi Microsoft, Alcatel-Lucent a 3Com. V dnešní době je

všeobecně považován za překonaný, například kvůli absencím standardů pro proces

autentizace, což vede k občasné vzájemné nekompatibilitě zařízení. Nicméně díky

jednoduchosti řešení, nativní podpoře v drtivém množství zařízení a nepovinné

podpoře šifrování je stále velmi používaný. Vývojáři open-source implementací pro

UNIX, včetně Linuxu a různých odvozenin BSD, které se šíří zdarma, implementovali

PPTP jako podporu při vytváření levných zašifrovaných tunelů s klientskými počítači, jež

používají systém Windows. Jsou k dispozici implementace pro klienty i servery, které

jsou schopny fungovat i s implementací PPTP od Microsoftu. Takže i když budoucností

VPN zůstává i nadále IPSec, je protokol PPTP při zajišťovaní interoperability mezi VPN

17

pragmatickým řešením „pro teď“.[2] Funkce PPTP je vcelku jednoduchá. Jedná se

o kombinaci Point to Point Protokolů a GRE relace.

PPP protokol

protokol linkové vrstvy, používaný pro přímé spojení mezi dvěma síťovými uzly.

Umožňuje autentizaci, šifrování a kompresi přenášených dat.[ INT 2]

GRE relace

Protokol používaný univerzálně napříč IP sítěmi například právě pro PPTP, či

tunelování IPv6 paketů skrze IPv4 sítě.

Způsob, jakým tento protokol funguje, je vcelku jednoduchý: PPTP zapouzdří PPP

rámec, který může být IP, IPX nebo NetBEUI paketem uvnitř Generic Routing

Encapsulation (GRE) hlavičky. Pro poskytnutí zdrojové a cílové IP adresy je vložena i

IP hlavička. Zdrojová adresa je VPN klienta a cílová je VPN serveru. Pro případně

šifrovaní je používán algoritmus RC4 s délkou klíče 40-128 bit.

1.6.3. L2TP

L2TP je pokračovatelem protokolu L2F společnosti Cisco Systems a využívá

některých vlastností PPTP. Ačkoli je tento protokol ideální pro přenos libovolných dat

na síťové vrstvě (IPX, NetBEUI), tak v základu není schopen šifrovat přenášená data,

a proto se samotného protokolu L2TP v podstatě nevyužívá. Využívanější variantou

této technologie je kombinace L2TP a IPSec, kdy první protokol slouží k sestavení

tunelu a šifrování je dosaženo pomocí IPSec. Výsledná technologie je označována jako

L2TP/IPsec. Microsoft považuje L2TP za ideální mechanismus pro autentizaci

uživatelů, pokud se požaduje silné zabezpečení uživatelů se vzdáleným přístupem.

Protože protokol L2TP poskytuje bezpečnou autentizaci uživatelů a pak pro autentizaci

zařízení používá IPSec, mohou se vzdálení uživatelé připojovat bez mezery

v autentizaci.[2] Zajímavá implementace pro L2TP je zvolena v systému RouterOS

společnosti MikroTIK. RouterOS, ačkoliv plně podporuje IPSec, umožnuje

i konfiguraci L2TP tak, že je použito kryptování pomocí MPPE, které se jinak používá

v implementaci PPTP společnosti Microsoft.

18

1.6.4. IPSec

Protokol IPSec je často označován jako jediná alternativa, pokud bychom chtěli

uvažovat o „bezpečné„ VPN.“ IPSec je možné použít pro šifrování dat, přenášených

skrze tunel vytvořený na jiném protokolu, například L2TP. Můžeme jej také použít

k vybudování tunelu, pokud tento protokol pracuje v tunelovém režimu. V tunelovém

režimu může být IPSec použit pro zapouzdření IP paketů a může být nakonfigurován na

ochranu dat mezi dvěma IP adresami nebo mezi dvěma IP podsítěmi. “.[1]

Nastavení tohoto protokolu není úplně nejsnadnější vzhledem k nutnosti přiřazovat

certifikáty či předsdílené klíče. Jako rozumný popis funkce nabízím tuto citaci: IPsec

nejprve zařídí to, že se obě strany navzájem identifikují (autentizují) a následně šifruje

veškerou komunikaci pomocí domluveného algoritmu. … V rámci IPsecu můžeme

používat velké množství standardních protokolů a algoritmů. IPsec neurčuje, jaké

algoritmy se musí použít pro komunikaci, ale definuje mechanismy vyjednávání

a základní množinu algoritmů.[ INT 3 ]

IPSec lze používat v následujících dvou režimech:

Transportní mód – původní IP hlavička je zachována a upravuje se (šifruje) pouze

datová část paketu. Výhodou transportního módu jsou nižší nároky na přenosové pásmo.

Tím, že jsou k dispozici informace o cílovém zařízení, lze rovněž během přenosu paketu

sítí aplikovat některé nadstandardní mechanismy (např. kvalita služeb – QoS).

Transportní mód se nejčastěji používá při autentizaci vzdálených klientů VPN.

Tunelovací mód – původní data spolu s IP hlavičkou jsou zabalena a chráněna v nově

vytvořeném IP paketu. Nový paket obsahuje IP adresu odesílatele a příjemce z

transportní IP sítě. Tunelovací mód může spolupracovat s oběma protokoly (ESP i AH). V

současnosti se tento mód používá častěji.[ INT 1]

1.6.5. SSL VPN

Jak jsem uvedl dříve, se SSL VPN se lze setkat například u bankovních aplikací či

formou apletů pro (nejčastěji) pro internetové prohlížeče. Díky tomuto apletu jsme

schopni provádět i některé nestandardní činnosti – jako například vzdálenou plochu -

právě prostřednictvím internetové prohlížeče. SSL běží pod aplikační vrstvou (jedná

se de facto o mezivrstvu), která je konfigurována mateřskou aplikací. Tato mezivrstva

poskytuje zabezpečení komunikace, šifrování a autentizaci komunikujících stran.

19

Jedinou variantou, kterou lze označit jako Síť-Síť, využívající technologii SSL (přesněji

OPENSSL) je protokol Open VPN. Tento protokol, co do bezpečnosti často srovnávaný

s IPSec, je díky podpoře a otevřenosti kódu často nasazován do sítí postavených na

UNIX či LINUX platformě.

1.6.6. Orientační porovnání VPN technologií

Vzhledem k vzájemné blízkosti PPTP a LT2P se přímo nabízí možnost jejich srovnání.

Výhody L2TP/IPSEC oproti PPTP

Podpora více tunelů mezi koncovými body

Schopnost autentizovat tunel

Podpora ATM či Frame Relay sítí

Nevýhoda

Náročnější konfigurace

IPSec se od výše uvedených liší hlavně vyšší bezpečností díky využití certifikátů,

komplexností a náročností na konfiguraci. Naopak čisté SSL-VPN se liší omezenou

využitelností a absencí podpory více sítí.

V následující tabulce se pokusím přehledně srovnat uvedené protokoly. Pro

zachování objektivity ovšem dodávám, že implementace některých forem IPSec

nemusí být zdaleka tak obtížná. Například v době kdy vznikala tato práce, se objevili

na trhu velmi zajímavé prvky od společnosti Cisco Systems spadající do cenové relace

do 5000 Kč. Překvapilo mne, že konfigurace IPSec tunelu i následné připojení

prostřednictvím dodaného klienta je vcelku jednoduché a intuitivní. Tyto prvky

podporují až 5 současných spojení a mohly by být také velmi zajímavou variantou.

Tabulka 3 – srovnání technologií Technologie DoD Vrstva Síť-síť Klient-síť Obtížnost konfi.

PTPP 2 dle routeru ANO 1

L2TP 2 ANO ANO 2

IPSec 3 ANO ANO 5

SSL 4 dle implementace ANO 3

L2TP/IPSEC 2 ANO ANO 4

20

2. Výběr VPN řešení

2.1. Požadavky a kritéria kladené na VPN

Požadavky kladené na VPN jsou už od počátku velmi protikladné. (Typickým

příkladem budiž cena vs. datová propustnost). Základním elementem, kvůli kterému

vlastně k realizaci tohoto síťového řešení dochází, je ale zcela jistě bezpečnost. Dalším

důležitým aspektem je uživatelská přívětivost, neboť uživatel znechucený složitostí

našeho řešení dokáže vyvinout neuvěřitelnou invenci pro nalezení „vlastního řešení“

pro přístup do naší sítě. Na následujících stranách detailněji rozeberu základní

požadavky, které jsou vhodné ke zvážení před realizací VPN. V další části této práce

se později pokusím dle těchto kritérií posoudit vhodnost typových řešení realizace

VPN.

2.1.1. Bezpečnost

Velmi známý bonmot tvrdí, že systém je jen tak bezpečný, jak je bezpečný jeho

nejslabší prvek. Troufám si tvrdit, že nejslabším článkem (nejen) v počítačových sítích

je, a vždy bude, lidský faktor. Můžeme nastavit výborně zabezpečený Cisco prvek, ale

pokud bude uživatel nosit svůj soukromý certifikát společně s instalátorem Cisco VPN

klienta a souborem „heslo.txt“ na svém flashdisku, jsme předem ztraceni. Proto je

vhodné už při samotných úvahách nad zabezpečením VPN brát v potaz i případnou

pohodlnost zvoleného řešení pro koncové uživatele. Ostatně bude to právě koncový

uživatel, který bude nakonec oním pomyslným nejslabším článkem řetězu.

Jak jsem během své dosavadní praxe zjistil, jsou to právě pojmy bezpečnost

a uživatelská přívětivost, které jsou nejčastěji v opozici. Protože budeme s pojmem

bezpečnost na následujících stránkách často pracovat, pokusil jsem se dohledat co

možná nejvýstižnější definici. Dle mezinárodní normy ISO je bezpečnost definována,

tako:

21

„Bezpečnost je zajištěnost proti nebezpečí a souhrn administrativních, logických,

fyzických a technických opatření k detekci a opravě nesprávného použití daného

systému“[INT. 1]

Systémem je v tomto případě nejen celkové řešení VPN, ale i postupy společnosti pro

přiřazení patřičných oprávnění. Obecně lze říci, že neexistuje absolutně bezpečná síť,

neboť jediná opravdu bezpečná síť je taková, do které nemá přístup vůbec nikdo.

Bohužel, taková síť ale popírá podstatu pojmu „síť“. Abychom mohli hodnotit

parametry bezpečnosti alespoň částečně objektivně, musíme definovat jisté

požadavky. Mezi základní lze řadit následující:

Autentizace

Autentizace je proces, kdy prověřujeme, zda objekt či uživatel je opravdu ten,

za koho se vydává. V této části procesu dochází k ověřování hesla vůči jeho

hashové podobě, či ověřování validnosti certifikátů. Pokud je celý proces

úspěšný, dojde k autorizaci objektu. Typickým protokolem pro autentizaci je

MS-CHAP.

Autorizace

Na základě úspěšné autorizace jsou objektu přiřazená patřičná oprávnění

pro přístup a správu vzdálených zdrojů. Jak proces autorizace, tak autentizace

lze provádět jak oproti lokální databázi uživatelů, tak oproti serveru RADIUS či

prostřednictvím IAS služby.

Integrita

Jedním ze základních požadavků je zachování celistvosti paketů procházejícím

tunelem a také zajištění potvrzení o doručení těchto paketů. K zajištění této

integrity jsou používány běžné rekurzivní kontroly, CRC, či hashovaní funkce.

Transparentnost

Pojem transparentnost v tomto ohledu definujme jako možnost monitorovat

a v reálném čase analyzovat činnost uživatelů. Neméně důležitá je možnost

veškerá data a aktivity uživatelů uchovávat pro případnou pozdější analýzu

bezpečnostní události.

Kryptování

Kryptografie neboli šifrování je nauka o metodách utajování smyslu zpráv

převodem do podoby, která je čitelná jen se speciální znalostí. [INT 4]

22

Jedná se tedy o klíčový požadavek na VPN. Od těchto sítí očekáváme, že i když

jsou realizovány skrz veřejný internet, zaručí nám velmi rozumné zabezpečení

přenášených dat. Některé protokoly, jako jsou PPTP či IPSec, poskytují

šifrování přenášených dat již nativně, ostatní jako například L2TP tuto

možnost v základu nenabízejí. Běžné metody kryptování jsou například MPPE

(používané pro PPTP), DES či AES. Některé algoritmy, jako MPPE společnosti

Microsoft, bývají často označovány jako slabé, či nedůvěryhodné. Domnívám

se ovšem, že než slabé šifrování je častějším původcem bezpečnostního

incidentu slabé uživatelské heslo, které lze jednoduše napadnout slovníkovým

útokem. Před volbou šifrovací metody a slepou vírou v její sílu a bezpečnost se

hodí podotknout, že většina těchto algoritmů pochází se Spojených států,

a tyto se vcelku odmítavě staví k vývozu tzv. Silných šifer, nebo lépe řečeno

k vývozu šifer, které nejsou vládní organizace USA schopny v krátké době

dekryptovat.

Princip šifrování lze zjednodušeně shrnout do jednoduchého diagramu.

Diagram 2 – princip šifrování

DATA + KLÍČ + ALGORITMUS = ZAŠIFROVÁNO

2.1.2. Škálovatelnost

Požadavek na škálovatelnost již nespadá do kategorie bezpečnostních

požadavků, ale rozhodně není nijak nedůležitý. Jedná se v podstatě o možnost

pohodlným způsobem rozšířit počet uživatelů, kteří jsou oprávněni vzdáleně

přistupovat do sítě, pokud to společnost vyžaduje. Ačkoliv se může zdát, že je

tento požadavek zanedbatelný, některé prvky určené pro SMB trh jsou

limitovány například 5 současnými tunely a v případě potřeby dalšího tunelu

budeme muset přehodnotit celé dosavadní řešení VPN sítě.

2.1.3. Interoperabilita

Tento požadavek lze uchopit ze dvou rozdílných pohledů. První z možných je

čistě administrativní. Převážně ve větších organizacích, či ve firmách s velkou

fluktuací zaměstnanců může nastat problém s udržením aktuální tabulky

23

oprávněných uživatelů. Ideálním řešením je tedy možnost propojit VPN box

s Active Directory či podobnou službou. Oprávnění pak lze řídit centrálně jako

dial-in právo či skrze Group Policy.

Druhým možným pohledem na interoperabilitu je pouhý výčet zařízení, která

budou schopna připojení do VPN. Například drtivá většina dnešních tzv.

„chytrých“ mobilních telefonů je schopna pracovat se základními protokoly

pro VPN a stát se tak pohodlným a velmi mobilním terminálem. Obecně lze

tedy říci, že interoperabilitu v tomto pohledu chápu jako schopnost

realizovaného řešení spolupracovat se stávajícími systémy a procesy ve

společnosti.

2.1.4. Přívětivost

Jak napovídá název, jedná se o přívětivost řešení jak pro uživatele, tak pro

administrátora. Uživatelsky přívětivé řešení mimo jiné znamená, že uživatelé

nebudou sváděni k různým bezpečnostním nepodloženostem. Zjednodušeně

řečeno, poklepání na ikonku zástupce s následným doplněním hesla je daleko

uživatelsky komfortnější – byť méně bezpečné – než autorizace přes mobilní

telefon, či ověřovací kalkulačku.

2.1.5. Cena

Po bezpečnosti zcela jistě nejčastěji posuzované hledisko. Pro některé

společnosti může být cena i klíčová. Při rozhodování mezi variantami berme

v potaz i TCO1 a nejen cenu pořizovací.

2.2. Varianty a typová řešení pro VPN síť

Pro testování jednotlivých variant jsem využil Virtualizační nástroj Micosoft Hyper-V

a Mikotik RB450. Jednotlivá zařízení se nacházela v síti 109.233.73/28. Testování

probíhalo zhruba v rozsahu 30 dní. S většinou řešení jsem již měl zkušenosti díky

zaměstnání či praxi. Novinkou pro mne například byla konfigurace IPSec tunelu, se

kterou jsem se poprvé setkal až při přípravě podkladů pro tuto práci. 1 TCO – total cost of ownership – celkové náklady včetně prodloužení licencí, updatů atp.

24

2.2.1. Microsoft Windows SBS 2011 Standard

Serverová edice Small Business Server společnosti Microsoft je vcelku oblíbené

serverové řešení pro menší a středně velké společnosti do cca 75 zaměstnanců. Tento

operační systém vždy vychází z aktuální edice systému Windows Server, a to již od

verze 2000. Licenční politika Microsoftu striktně rozděluje využití jednotlivých

systémů, jak dle určení, tak dle velikosti subjektu. Operační systém se velmi obecně

příjemně konfiguruje, ovšem některá řešení je náročnější systému vnutit. Například

pokud použijeme jiný DHCP server či máme v síti jiný router a trváme na jeho využití.

Windows Server akceptuje příchozí VPN spojení a to (ve výchozím nastavení) pomocí

PPTP, ale lze jej nastavit i k použití IPSec. Jako velmi zajímavé řešení pro vzdálený

přístup k datům společnosti se jeví integrovaná SSL VPN Windows Web Access. Tato

VPN kromě služeb podobných Cloud řešení nabízí i přístup vzdálené plochy včetně

spouštění programů třetích stran. Windows SBS jsou kombinací následujícího:

serverový operační systém

kolaborativní portál Sharepoint

poštovní a Groupeware server Exchange

firemní firewall

U tohoto řešení je poněkud obtížnější stanovit cenu za VPN část. Celková cena

produktu se v současné chvíli pohybuje kolem 16 000 Kč, tudíž je tato varianta

vhodná spíše pro společnosti, které oslovuje možnost „vše-v-jednom“. Popřípadě pro

společnosti, které se bez realizace serveru neobejdou, například z důvodů zavádění

informačního systému. Případné rozšíření licencí pro více jako 5 uživatelů lze

zakoupit v blocích po 5 za cenu pohybující se okolo 10 000 Kč. Licence jsou

kalkulovány podle současných připojených zařízení, či uživatelů.

25

Tabulka 4 – MS Windows

Výhody Nevýhody

Moderní stabilní operační systém All-in-one řešení

Dodáván převážně na kvalitním hardware Oblíbený operační systém - častý cíl útoků

Velmi přehledná konfigurace Hardwarová nenáročnost

Interoperabilita Jiné než výchozí řešení je náročné na konf.

Technická podpora Cena

Uživatelská přívětivost

Nativní podpora VPN u klientských stanic

Funkce pro VPN řešení: PPTP, L2TP, IAS, ADirectory, LDAP, IPSec

Obrázek 4 - Grafické rozhaní sítě - Windows SBS

26

2.2.2. MikroTik

Litevská společnost MikroTik vyvíjí od roku 1995 operační systém RouterOS. Ačkoliv

je RouterOS určený původně pro běžnou x86 platformu v dnešní době nejčastěji

prodávaným řešením embedded systém s produktovým názvem RouterBOARD. Tyto

jednoúčelové základní desky postavené na platformě x86 či MIPS jsou velmi oblíbené

řešení mezi českými WiFi poskytovateli. RouterOS ovšem není tak limitován jako

podobné free projekty (pfsense, m0n0wall) a nabízí funkce (MPLS, BGP, QoS)

použitelné i pro velké operátory. Velkou výhodou MikroTiků je možnost konfigurace

jak pomocí CLI, tak přes aplikaci WinBOX a nově i skrze velmi povedené webové

rozhraní. Mezi velké přednosti RouterOS patří velmi rozsáhlá škálovatelnost

a možnost implementace vlastních skriptů. Zařízení navíc podporuje velké

množství VPN protokolů, takže je možné realizovat VPN pomocí PPTP a později se

kupříkladu rozhodnout pro jiný protokol. Častým důvodem pro toto řešení je také

jeho univerzálnost a proprietární doplňky. Podpora více tunelů současně (na různých

protokolech) umožňuje realizovat VPN spojení s pobočkou přes IPSec a běžné

vzdálené klienty realizovat na PPTP. Nezanedbatelnou výhodou je také podpora

RADIUS a LDAP služeb, tudíž je možné autorizovat uživatele oproti Windows Active

Directory či podobným službám. Důvodem pro velké rozšíření produktů MikroTIK

v České Republice je rozhodně poměr cena a výkon těchto zařízení. Na produktovém

portfoliu této společnosti lze vystavět sítě od domácího sdílení internetu po

celofiremní VPN s velmi vysokou propustností. Cenová politika a produkty MikroTIKu

se odvíjejí od požadovaného řešení. Typickou variantu firemního routeru, firewallu,

WiFi Access Pointu a VPN směrovače lze realizovat do 4–5000 Kč. Licence pro

jednotlivé uživatele není nutné dokupovat, neboť licenční politika je postavena na

dostupných funkcích a nikoliv na počtu uživatelů. Pro firemní nasazení lze doporučit

produktovou řadu RB 400.

Tabulka 5 - MikroTIK

Výhody Nevýhody

Výborná interoperabilita Kolísající hardwarová kvalita RouterBOARDů

Excelentní škálovatelnost Nekvalitní OEM zdroje

Dostupnost informací na wiki.mikrotik.com Některé funkce jsou ve stadiu betaverze

Uživatelská přívětivost Náročnější import konfigurace

Nativní podpora VPN u klientských stanic

Funkce pro VPN řešení: PPTP, L2TP, IAS,RADIUS,MPLS, IPSec, OpenVPN

27

Obrázek 5 - GUI RouterOS

2.2.3. Pfsense

Pfsense je v informatice projekt, jehož cílem je vytvořit na základě FreeBSD kompletní

firewall, který by na standardním nebo jednodeskovém PC poskytl všechny důležité

vlastnosti komerčních firewallů, měl jednoduché ovládání, a byl za přijatelnou cenu

(svobodný software). Pfsense vychází z projektu M0n0wall a významně rozšiřuje jeho

možnosti.[INT 6]

Pfsense je jeden ze skupiny free nástrojů jako je M0n0wall, či FreeNAS, kde lze

pomocí speciální distribuce „recyklovat“ již vyřazenou pracovní stanici a v podstatě

s nulovými náklady postavit ideální síťové řešení, resp. datové úložiště. Pfsense se

velmi pěkně konfiguruje a přes webové rozhraní lze následně nastavit většinu

využitelných funkcí pro malou až střední síť. Nevýhodou je jistá neflexibilita - pokud

bychom chtěli využít jiných služeb, než jsou nabízeny v základu, neobejdeme se bez

širších znalostí Unix-like OS, konkrétně FreeBSD. Naopak ceněnou výhodou je

v podstatě nulová cena za tento software a nulové náklady na údržbu. Velmi oceňuji

možnost ukládat konfigurační soubory na přenosná média a v případě HW výpadku

routeru migrovat celé řešení na záložní stroj.

28

Tabulka 6 - Pfsense

Výhody Nevýhody

Náklady na pořízení Omezená podpora hardware

Přehledná konfigurace Omezené možnosti GUI

Export konfigurace Řešení často postavené na nekvalitním HW

Funkce pro VPN řešení: PPTP, RADIUS, IPSec, OpenVPN

Obrázek 6 - Pfense - pravidla firewallu

29

2.2.4. Kerio Control

Produkt České společností Kerio je vyvíjený od roku 2001 původně pod názvem Kerio

Winroute Firewall. Tento software již od počátku nabízel velmi zajímavé řešení

firemního firewallu a jednoduchého poštovního serveru. Ačkoliv byl tento nezvyklý

mix vcelku úspěšný, později byl Winroute vyvíjen jen jako bezpečnostní řešení.

Poslední verze dostupná k testování je nabízena buďto formou aplikace pro počítač

na platformě x86 či jako HW box. Řešení je velmi nenáročné na administrační

znalosti a povědomí o sítích vůbec. Většina případných požadavků lez vyřešit pomocí

přednastavených pravidel, a to včetně DMZ zón atp. Bohužel velikou nevýhodu Kerio

Control spatřuji v omezené podpoře internetových prohlížečů, a to jak na

konfiguraci samotnou tak na využití SSLVPN. Za celou dobu testování se mi nezdařilo

připojit se pomocí tohoto protokolu, ačkoliv jsem se připojoval podporovanou verzí

prohlížeče. Naopak proprietární Kerio VPN Client je dostupný pro většinu

moderních operačních systémů, což částečně kompenzuje absenci PPTP či IPSec a

navíc tento klient šifruje jak řídící tak datový kanál. Kerio Control lze doporučit jako

řešení pro společnost, která má nasazenu firemní bezpečnostní politiku či má zájem ji

aplikovat, neboť tento software nabízí i velmi zajímavé služby jako je filtrování a

analýza webových přístupů či antivirus. Velmi příjemnou vlastností je licenční

politika, kdy na jednoho uživatele může být vázáno až 5 IP adres. Cenová politika

se odvíjí od počtu zakoupených licencí. Základní balíček včetně 5 uživatelů lze

zakoupit zhruba za 6000 Kč a softwarovou podporu, včetně update programu a

antivirového modulu, lze pořídit za 1500 Kč. Uživatele lze dokupovat v blocích po 5

uživatelích v ceně 576 Kč za každého.

Tabulka 7 – Kerio Control

Výhody Nevýhody

Komplexní řešení firemní sítě Proprietární VPN klient

Přehledné a intuitivní GUI Cenová politika

Využitelné grafické výstupy

Export konfigurace

Transparentnost

Výborné filtrování procházeného webu

Funkce pro VPN řešení: LDAP, vlastní řešení

30

Obrázek 7 - Kerio Control - uvodní stránka

2.3. Srovnání variant dle kritérií

V této části práce se zaměřím na srovnání variant z předchozí kapitoly. Vzhledem ke

skutečnosti, že se přes 8 let zabývám servery na platformě Windows, konzultoval

jsem svá kritéria a zkušenosti s kolegy ze společnosti, kde pracuji. Jejich úkolem bylo

vybrat vždy preferovaný protokol, případně vyplnit Fullerův trojúhelník. Tímto

postupem jsem se pokusil zajistit jistou objektivitu při rozhodování. Předpokládám

ovšem, že některé varianty jsou například pro čtenáře s rozsáhlejšími zkušenostmi

s OS Linux předem v nevýhodě a naopak.

Pro zjednodušení případné vlastní volby nabízím – na následující straně - jednoduchý

orientační diagram s ohledem na hlavní kritérium Pro korektnost je ovšem nutné

dodat, že tento diagram je jen jednoduchou pomůckou pro výběr vlastní realizace a

výrazně zjednodušuje některé skutečnosti. Například PPTP lze s úspěchem použít

pro Síť-Síť a naopak IPSec lze použít i pro připojení notebooku (klienta) do

vzdálené sítě a konfigurace nemusí být až tak náročná. Ostatně již zmíněný Cisco Easy

VPN klient pracuje právě pomocí IPSec tunelu.

31

Obrázek 8 - Rozhodovací diagram technologií

2.3.1. Tabulka kritérií

Tabulku kritérii jsem vyplnil dle svých poznatků během testování jednotlivých

produktů. Nejvyšší možnou dosažitelnou hodnotou bylo vždy 5 bodů.

Tabulka 8 - označení kritérií

Produkt

MS Windows SBS 2011 Mikrotik Kerio Control pfense

Hled

isko

bezpečnost 4 5 4 3

cena 2 4 3 5

přívětivost 5 4 5 4

interoperabilita 4 5 4 2

transparent 3 4 4 4

škálovatelnost 3 5 4 4

Dosažení plného počtu bodů se odvíjelo od naplnění podmínek:

Bezpečnost podpora všech protokoly včetně IPSec v režimu síť-síť

Cena stanovena do 7 000 Kč či níže

32

Interoperabilita podpora protokolů a autorizačních standardů (LDAP,RADIUS)

Transparentnost možnost analyzovat datový tok a činnost klientů

Škálovatelnost zohlednění varianty na změnu technologie, či rozšíření

2.3.2. Fullerův trojúhelník

Metodu Fullerova trojúhelníku jsem si připomněl až později, během posuzování

jednotlivých variant a hledaní klíče pro co nejobjektivnější možnost posouzení.

Ačkoliv není tato metoda pro náš účel úplně vhodná, pokusil jsem se s ní během

rozhodování operovat. Principem této metody je postupné srovnávání hledisek

a volby důležitější varianty. Možnost stejné důležitosti hledisek jsem úmyslně

vynechal.

bezpečnost bezpečnost bezpečnost bezpečnost bezpečnost

cena přívětivost interoperabilita transparentnost škálovatelnost

cena cena cena cena

přívětivost interoperabilita transparentnost škálovatelnost

přívětivost přívětivost přívětivost

interoperabilita transparentnost škálovatelnost

interoperabilita interoperabilita

transparentnost škálovatelnost

transparentnost

škálovatelnost

2.3.3. Tabulka váhy kritérií

Výsledným výstupem z Fullerova trojúhelníku je níže uvedená tabulka přisuzující

váhu jednotlivým hlediskům dle počtu jejich výskytu. Tyto hodnoty jsou následně

použity v normalizační tabulce. Některé hodnoty nás mohou překvapit. Například

škálovatelnost řešení by se leckdy mohla zdát jako velmi důležitá. Ovšem, hledáme-li

řešení pro jednotlivé uživatele, nepředpokládáme, že se počet vzdálených uživatelů

bude v nejbližší době od realizace VPN nějak dramaticky měnit. Obecně lze říci, že

vždy měla přednost bezpečnost, ať už formou zabezpečení, či ve formě

transparentnosti – dohledu nad uživateli.

33

Tabulka 9 - váha kritérií

Váha hlediska Počet

0,27 bezpečnost 4

0,07 cena 1

0,2 přívětivost 3

0,13 interoperabilita 2

0,27 transparent 4

0,07 škálovatelnost 1

1 SUMA 15

2.3.4. Normalizovaná tabulka kritérií

Pomocí transformačního vzorce [5] jsem vytvořil normalizovanou kriteriální tabulku.

Tato tabulka zobrazuje jednotlivé varianty na stupnici od 0 do 1 dle vhodnosti

z pohledu daného hlediska. Bez ohledu na původní hodnoty je přisuzována nejlépe

vyhovující variantě hodnota 1, a naopak té nejméně vyhovující hodnota 0.

Tabulka 10 - váha kritérií

produkt MS Windows SBS 2K11 Mikrotik Kerio Control pfense

hledisko

bezpečnost 0,5 1,0 0,5 0,0

cena 0,0 0,7 0,3 1,0

přívětivost 1,0 0,0 1,0 0,0

interoperabilita 0,7 1,0 0,7 0,0

transparent 0,0 0,5 0,5 0,5

škálovatelnost 0,0 1,0 0,5 0,5

2.3.5. Řešení

Tabulka 11 prezentuje užitnost dané varianty dle zadaných kritérií a zohledňuje jejich

váhu pro tento proces.

Tabulka 11 – Výsledné posouzení

produkt MS Windows SBS 2K11 Mikrotik Kerio Control pfense

hledisko

bezpečnost 0,133 0,267 0,133 0,000

cena 0,000 0,044 0,022 0,067

přívětivost 0,200 0,000 0,200 0,000

interoperabilita 0,089 0,133 0,089 0,000

transparent 0,000 0,133 0,133 0,133

škálovatelnost 0,000 0,067 0,033 0,033

Výsledek variant 0,422 0,644 0,611 0,233

34

2.4. Zdůvodnění výběru

Výsledek rozhodování mne příliš nepřekvapil. Pokud bych měl volit jen na základě

svých zkušeností a poznatků získaných během testování, rozhodoval bych se mezi

variantou MikroTIK a Kerio Control. Tyto varianty při zachování přijatelných nákladů

nabízejí řešení, které lze v případě komplikací rychle migrovat na jiný hardware.

A zároveň jsou vcelku přehledné. Ačkoliv se pfsense z počátku jevil jako horký

kandidát, testování ukázalo, že se jedná stále o freeware řešení s určitým, nepříliš

rozsáhlým, portfoliem služeb, které lze sice rozšiřovat či propojovat s jiným řešením,

ovšem časová investice vložená do nastudování patřičných syntaxí se mi nejevila jako

rentabilní. Možnosti MikroTIK jsou daleko rozsáhlejší a informační základna různých

typových řešení a postupů je daleko komplexnější. Pokud jsem měl možnost srovnat

VPN řešení na Windows Server a MikroTIK, oslovuje mne u Windows Server možnost

spravovat uživatele přímo z hlavního serveru. Paradoxně, má představa o lepší

transparentnosti Windows Server se ukázala jako mylná. Je sice možné monitorovat

otevřené soubory a přístupy na informační systém, nicméně chybí komplexní nástroj

pro posouzení ostatních aktivit skrze VPN. (viz kapitola 3.5)

Velkou výhodu vybraného řešení spatřuji v cenové politice. Pakliže si většina malých

společností vystačí s aDSL linkou a ZyXELem2 je MikroTIK RB 750 opravdu ideální

volbou jak do světa VPN.

2 ZyXEL 660 – nejčastěji dodávaný modem / router/ firewall pro xDSL okruhy

35

Praktická část

36

3. Realizace vybraného řešení - MikroTIK

3.1. Možností připojení k prvku

Zařízení RouterBOARD lze konfigurovat jak lokálně pomocí tzv. kříženého kabelu tak

vzdáleně pomocí nástrojů WinBOX, WEBfig a nástroji využívající TELNET a SSH.

3.1.1. WINBOX

Ačkoliv RouterBOARDy (dále i pod zkratkou RB, či MikroTik) mají již v základu jistou

konfiguraci (IP, DHCP), budeme předpokládat, že v našem případě to tak není. Pro

základní konfiguraci našeho Mikrotiku budeme potřebovat nástroj Winbox, který lze

získat ze stránek www.mikrotik.com pod názvem Winbox Configuration Tool.

Po stažení, uložení a spuštění toho nástroje, což může vyžadovat zvýšená systémová

opravnění a konfiguraci firewallu, se zobrazí základní nabídka.

Tuto základní nabídku se pokusím

stručně popsat v následující tabulce,

nicméně rozložení prvků je vcelku

intuitivní.

Tabulka 12 – popis rozhraní WinBOX

Connect To: Slouží k zadání cílové IP či Mac Adresy

Tlačítko „…“ Autodetekce RB v naší síti.

Login: Uživ. jméno do systému (výchozí - admin)

Password: Systémové Heslo (výchozí - bez hesla)

Keep Password: Umožní zapamatování hesla pro daný RB

Secure Mode: Kryptuje spojení mezi WinBox a RB

Load Previous Session Načte připojení k naposledy konf. RB

Connect Pokusí se připojení se zadanými údaji

Obrázek 9 - WinBOX login

37

Pro konfiguraci RouterBOARDu jej připojíme k počítači ethernetovým kabelem a

vyčkáme cca 15 vteřin, dokud si operační systém nevygeneruje privátní IP adresu.

Následně lze po klepnutí na tlačítko (…) vyhledat příslušný routerboard a připojit se

na jeho MAC Adresu.

Obrázek 10 - WinBOX - vyhledání zařízení

WinBox nás informuje o výchozí konfiguraci. Vymažeme ji tlačítkem Remove

Configuration. Následně často dojde k přerušení spojení, takže zopakujeme předchozí

krok.

Obrázek 11 - Odstranění konfigurace

38

Na obrázku x je dobře patrná hierarchičnost menu nástroje WinBOX. Je zde otevřeno

několik oken, kdy nejspodnější zobrazuje připojené rozhraní, okno které je o úroveň

výše, pak zobrazuje IP adresy v systému a konečně poslední, aktivní okno, zobrazuje

proces přidání IP adresy. Celý postup přidání IP adresy je vcelku jednoduchý.

Z levého Menu vybereme:

IP -> Adresses -> a stiskem červeného znaku plus přidáme adresu na patřičné

rozhraní.

Obrázek 12 - Adresace rozhraní

Analogicky se lze pohybovat v celém konfiguračním menu. Ačkoliv je WinBOX

plnohodnotným konfiguračním nástrojem, některé konfigurace je jednoduší provádět

přes systémový terminál který nalezneme pod volbou „New Terminal“.

3.1.2. WEBfig

Nástroj webfig je, co se grafického rozhraní a funkčnosti týče, shodný s WinBOXem.

Zásadní rozdíl je v možnosti konfigurovat vzdálený prvek prostřednictvím webového

prohlížeče. Výhodou tak je nezávislost na platformě windows.

39

3.1.3. SYSTÉMOVÁ KONZOLE

Jak jsem se již zmínil, Router OS je možné konfigurovat pomocí CLI a skriptů. Tyto

skripty je možné vkládat do konzole, a to buď prostřednictvím WinBOXu, nebo je

možné provést vzálené připojení pomocí SSH či služby telnet. Veškeré níže uvedené

konfigurace je tedy možné vkládat i pomocí nastrojů jako je PUTTY. V konzoli je

možné dopňovat syntaxi pomoci tlačítka „Tab“. Samotná syntaxe příkazů je velmi

specifická a víceméně kopíruje rozložení prvků v WinBOXu.

3.2. ZÁKLADNÍ KONFIGURACE

Před vlastním začátkem si připomeňme, že pokud nebude uvedeno jinak, veškeré

zobrazené kódy jsou vkládány přímo do terminálu prostřednictvím nástroje WinBOX.

Některé nastavení lze ovšem paradoxně daleko elegantněji a jednodušeji provést přes

grafické rozhraní, proto si dovolím obě metody kombinovat tak, abych případného

čtenáře neodradil již v po první konfiguraci. Kompletní kódy pro nastavení lze

jednoduše dohledat na přiloženém CD, či jejich alternativy na internetu. Pokud

v následujícím textu budu odkazovat na proceduru přidání (rozhraní, IP adresy), je

tímto myšleno využití červeného tlačítka s piktogramem PLUS.

Pro demonstraci konfigurace RouterBOARDu jsem vybral následující design sítě.

Přiložené schéma nám tak poslouží jako orientační bod pro následnou konfiguraci a

lépe se tak budeme odkazovat na jednotlivé parametry sítě.

Obrázek 13 - Design VPN řešení

V této první části nastavím WAN interface, lokální síť a připojím se do této sítě

pomocí protokolu PPTP.

40

3.2.1. Konfigurace rozhraní

Následujícím skriptem nastavíme rozhraní na správné parametry pro ethernet a

pojmenujeme je tak, jak je zvýrazněno tučným písmem.

/interface ethernet

set 0 arp=enabled auto-negotiation=yes disabled=no full-duplex=yes l2mtu=1526 \

mtu=1500 name=ether1_WAN speed=100Mbps

set 1 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500

name=ether2_LAN1 speed=100Mbps

set 2 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500

name=ether2_LAN2 speed=100Mbps

set 3 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500

name=ether2_LAN3 speed=100Mbps

set 4 arp=enabled auto-negotiation=yes full-duplex=yes l2mtu=1522 none mtu=1500

name=ether2_LAN4 speed=100Mbps

--------------------------------------------------------------------------------------------------------------

Protože by bylo zbytečné se už v počátku zaleknout dlouhých konfiguračních pasáží,

tento skript lze zkrátit pouze na následující:

/interface ethernet

set 0 arp=enabled name=ether1_WAN

(analogicky lze takto pojmenovat i ostatní rozhraní)

Ostatní hodnoty můžeme ponechat na výchozích hodnotách, neboť jsou shodné

s těmi, které jsou uvedeny výše. Pokud bychom i přes přehlednou zkrácenou verzi

raději volili grafické rozhraní, lze pojmenování provést přes volbu „Interfaces“.

Obrázek 14 - Přidání rozhraní

41

3.2.2. Vytvoření mostu

Síťový most slouží jako transparentní spojení několika rozhraní do jednoho

virtuálního, se kterým poté můžeme pracovat. Rozhraní přidaná do mostu se chovají

jako porty běžné Switche.

Přidání mostu provedeme přes volbu „Bridge“. Důležité je ovšem dodržet nastavení

pro ARP: „Proxy – ARP“ neboť pokud bychom tuto volbu neaktivovali, připojené

stanice by nebyly dostupné pro lokální síť a naopak.

Do takto vytvořeného mostu (bridge) nyní přidáme jednotlivé porty: postupujeme dle

níže uvedeného skriptu analogicky pro každý daný interface. Důležité je ovšem

ponechat první rozhraní mikrotiku ether0 – označené jako ether0_WAN mimo tento

síťový most, neboť jej použijeme pro WAN připojení.

/interface bridge port

add bridge=bridge1 interface=ether2_LAN1

add bridge=bridge1 interface=ether2_LAN2

--------------------------------------------------------------------------------------------------------------

3.2.3. Konfigurace IP adres

Úspěšným provedením těchto příkazů z předchozího odstavce máme nyní k dispozici

RB nakonfigurovaný jako switch. V následujících bodech jen nastavíme jako Router.

Nejdříve je nutné přiřadit jednotlivým rozhraním IP adresy. Je důležité zachovat

syntaxi, včetně CIDR notace (/28 a /24) a adresy sítě pro jednotlivé interface.

/ip address

add address=92.63.63.180/28 disabled=no interface=ether1_WAN

network=92.63.63.176

add address=192.168.11.1/24 disabled=no interface=bridge1 network=192.168.11.0

--------------------------------------------------------------------------------------------------------------

42

3.2.4. Konfigurace Routování

Nyní nám k úspěšnému připojení RouterBOARDu do internetu zbývá poslední krok.

Tímto krokem je nastavení výchozí brány. Pokud bychom v tento okamžik nahlédli do

routovací tabulky, obsahovala by jedinou, dynamickou routu pro naši lokální síť.

Přidáme tedy výchozí bránu dle parametrů, které máme k dispozici pro WAN

připojení. V mém případě byla tato brána na adrese 92.63.63.177.

/ip route

add distance=1 dst-address=0.0.0.0/0 gateway=92.63.63.177

--------------------------------------------------------------------------------------------------------------

Nyní můžeme vyzkoušet správnost naší konfigurace pomocí protokolu ICMP a

nástroje echo. Jak je patrné, vzdálený server nám odpovídá s velmi pěknou odezvou.

[zacek@BakuTik] > ping 78.41.19.2

HOST SIZE TTL TIME STATUS

78.41.19.2 56 125 3ms

78.41.19.2 56 125 2ms

78.41.19.2 56 125 2ms

--------------------------------------------------------------------------------------------------------------

3.2.5. Konfigurace DNS

Vzhledem ke skutečnosti, že jsme dosud nenakonfigurovali protokol DNS,

RouterBOARDu se nedaří dohledat adresu seznam.cz

[zacek@BakuTik] > ping seznam.cz

while resolving ip-address: could not get answer from dns server

--------------------------------------------------------------------------------------------------------------

Jednoduchým skriptem DNS korektně nastavíme. Opět zvolíme servery našeho ISP a

jako třetí server doplníme například server společnosti google.com.

set cache-max-ttl=1w servers=78.41.19.2,78.41.19.3,8.8.8.8

43

3.2.6. Konfigurace LAN sítě

Z přechozí podkapitoly máme nastaveny IP adresy pro WAN i LAN rozhraní. Nyní

tedy zbývá předposlední bod pro základní funkčnost. Tímto bodem je nastavení DHCP

serveru pro správné přiřazení IP adresy klientským počítačům. Pro tento bod je

v RouterOS jednoduchý průvodce dohledatelný pod volbou „IP -> DHCP Server“.

Obrázek 15 - DHCP server

3.2.7. Překlad IP adres (Source NAT)

Posledním bodem v kapitole Základní konfigurace je nastavení zdrojového NATu pro

data odcházející do internetu z klientů připojených do LAN sítě. Tato funkce má

kromě základního bezpečnostního aspektu také jednoduchý důvod: Umožní nám

připojit větší množství stanic do internetu skrze jednu veřejnou IP adresu, neboť

MikroTIK u každého odchozího paketu nahrazuje zdrojovou IP adresu adresou

přiřazenou pro WAN rozhraní.

/ip firewall nat

add action=masquerade chain=srcnat disabled=no out-interface=ether1_WAN

44

3.2.8. Základní zabezpečení

Během předchozí kapitoly jsme úspěšně nakonfigurovali MikroTIK do stádia

jednoduchého směrovače – firemního routeru. Nyní se jej pokusíme alespoň

základním způsobem zabezpečit.

Přes volbu“ System -> users“ zobrazíme tabulku uživatelů. Vytvoříme svého vlastního,

a přiřadíme patřičné oprávnění (FULL) a heslo. Následně silně doporučuji se jako

tento nový uživatel přihlásit a původního uživatele „admin“ odstranit.

Obrázek 16 - Správa uživatelů

Firewall prozatím necháme z testovacích důvodů otevřený, pakliže ovšem MikroTik

konfigurujeme z bezpečí naší vlastní LAN sítě, můžeme ochránit alespoň

administrační rozhraní RouterOS. Přidáme tedy pravidla na blokování SSH, http a

WinBOX.

/ip firewall filter

add action=drop chain=input dst-port=22 in-interface=ether1_WAN protocol=tcp

add action=drop chain=input dst-port=80 in-interface=ether1_WAN protocol=tcp

add action=drop chain=input dst-port=8291 in-interface=ether1_WAN protocol=tcp

45

3.2.9. Záloha nastavení

Současný stav MikroTIKu zvolíme jako stav výchozí. Veškeré další postup budou

z tohoto stavu vycházet. Abych se vyhnul opakované konfiguraci, a naopak

odstraňování nevyužívaných služeb provedu zálohu nastavení.

Volba „Files“ poskytuje možnost tuto zálohu pohodlně provést pomocí patřičného

tlačítka, které vygeneruje konfigurační soubor. Případná obnova lze provést pomocí

výběru tohoto souboru a volby „restore“.

Obrázek 17 - Záloha konfigurace

46

3.3. Konfigurace VPN

3.3.1. Modelová situace.

Pro demonstraci VPN spojení zvolím pro první situaci protokol PPTP, a jako klientský

počítač použiji virtualizované Windows XP.

IP adresa VPN serveru 92.63.63.180

IP adresa VPN klienta 109.233.73.14

Pro druhou modelovou situaci zvolím protokol IPSec.

3.3.2. PPTP s interními uživateli

Prvním krokem pro nastavení PPTP na MikroTIKu je aktivování PPTP serveru. Jak je

zobrazeno na obrázku 18, najdeme tuto volbu pod položkou PPP a PPTP server.

Obrázek 18 - PPTP server

Je vhodné si povšimnout změny MTU pro datový paket z 1500 bajtů na 1460. Tato

skutečnost je následek zapouzdření jednoho paketu IP do druhého. (Viz. Strana 15.)

Obrázek 19 - Zapouzdření paketu

47

Druhým krokem je vytvoření uživatele pro příchozí připojení. Přes záložku „secrets“

v panelu „PPP“ tedy vytvoříme uživatele „test“ s heslem „test“. Důležitým bodem je

nastavení IP adres pro PPTP klienty. Pro lokální adresu nastavíme IP ROUTERU a

vzdálenou zvolíme mimo rozsah DHCP serveru.

Obrázek 20 - Přidání PPP uživatele

Případné dohledání připojeného klienta lze dohledat v záznamovém LOGU

v mikrotiku. V následujících řádcích tedy vidíme posloupnost připojování skrze

protokol PPTP.

01:47:26 pptp,info TCP connection established from 192.168.10.179

01:47:26 pptp,ppp,info <pptp-0>: waiting for call...

01:47:26 pptp,ppp,info <pptp-0>: authenticated

01:47:27 pptp,ppp,info <pptp-0>: connected

01:47:27 pptp,ppp,info,account test logged in, 192.168.11.21

Konfigurace klienta pro připojení k PPTP se liší dle operačního systému, ale bývá to

velmi intuitivně dostupná volba

Pro přehlednost tedy jen odkazem:

http://www.cheapernet.cz/navody/pptp_windows_7

http://www.cheapernet.cz/navody/pptp_windows_xp

48

3.3.3. PPTP s User Manager

Pevné zadávání uživatelů do interní databáze je zcela jistě jednoduché, ale bohužel

nepříliš elegantní řešení. Například už jen s ohledem na skutečnost, že uživatele lze

přidávat pouze pod administrátorským účtem, tudíž nelze tuto činnost delegovat na

jiného zaměstnance bez případného bezpečnostního rizika. Rád bych tedy předvedl

využití modulu User Manager. Tento modul je de facto RADIUS server. Použitím

tohoto modelu přihlašování také lehce navýšíme úrovně zabezpečení celého řešení

neboť komunikace mezi modulem PPTP serveru a RADIUSu je šifrována.

RADIUS (Remote Authentication Dial In User Service, česky Uživatelská vytáčená služba

pro vzdálenou autentizaci) je AAA protokol (authentication, authorization and

accounting - česky autentizace, autorizace a účtování) používaný pro přístup k síti nebo

pro IP mobilitu. [INT 5]

Usermanager je doplňkový balíček dostupný na stránkách www.mikrotik.com. Tento

balíček umožní po stažení, rozbalení archivu a překopírovaní do složky FILES ve

Winboxu využívat možnosti správy uživatelů.

Obrázek 21 - Stažení a instalace usermanager

Před následující konfigurací je nutné zařízení restartovat pro korektní načtení tohoto

modulu.

49

Samotná konfigurace lze provést opět přes WinBOX, či několika krátkými příkazy. Na

rozdíl od základní konfigurace, nejsou příkazy pro nastavení UserManageru již tak

triviální a sebevysvětlující, proto je budu vždy pod příkazem komentovat.

/ppp profile

add change-tcp-mss=yes local-address=192.168.11.1 name=ppptp remote-

address=dhcp_pool1

Vytváříme PPP profil s konfigurací IP adresy pro Router (tato zůstává stejná jako pro

lokální LAN) a vzdáleným klientům necháme přiřadit IP adresu z DHCP rozsahu. Tato

varianta se liší od pevně zadaných uživatelů, kteří mají vždy adresu rezervovánu.

--------------------------------------------------------------------------------------------------------------

/radius

add accounting-port=1813 address=92.63.63.180 authentication-port=1812

secret=123456 service=ppp timeout=3s

V tomto bodě konfigurujeme samotný RADIUS. IP adresa pro komunikaci musí být

uvedena z WAN rozhraní a jsem velmi překvapen skutečností, že nelze uvést adresu

localhost. Bohužel toto je, zdá se, jediná funkční konfigurace. Jako SHARED KEY pro

šifrování dat mezi RADIUSem a User Managerem volím jednoduché heslo 123456,

nicméně v reálném nasazení se podobným excesům samozřejmě vyvarujme.

--------------------------------------------------------------------------------------------------------------

Předposledním bodem pro korektní propojení zůstává nutnost přidat uživatele admin

pro přístup do konfigurace rozhraní UserManager:

/tool user-manager customer

add login="admin" password="123456" permissions=owner

Tyto údaje by ale rozhodně měly být rozdílné od těch, které jsme zvolili pro administraci

routeru.

50

Pro správu uživatelů se nyní přihlásíme pomocí prohlížeče do rozhraní User

Manageru (http://LAN_adresa_routeru/userman)

Obrázek 22 - Login User Manager

Po úspěšném přihlášení propojíme modul User Manager s RADIUS serverem viz

obrázek 22. Použijeme údaje zadané v bodě „/radius“. Pro transparentnost

doporučuji zapnout možnost logování veškerých požadavků na připojení.

Obrázek 23 - Propojení RADIUS – UserMan

51

V závěru tedy můžeme přidat vybrané uživatele (obr. 23) a otestovat spojení.

Obrázek 24 - Grafické rozhraní User Man

Klientský počítač s Windows XP je úspěšně připojen a data jsou kryptována pomocí

MPPE.

Obrázek 25 - Stav síťové rozhraní VPN - WinXP

Pohled na vytočené VPN spojení z pohledu modulu User Manager:

Obrázek 26 - Přehled připojených klentů - Mikrotik

52

3.3.4. L2TP síť – síť tunel

Posledním řešením, které představím na platformě MikroTIK je L2TP VPN. Tento

tunel nepoužívá šifrování IPSec, jak bývá zvykem, ale jednoduší MPPE. Konfigurace je

tak výrazně jednodušší, ale lze realizovat jen oproti zařízení MikroTIK. Konfiguraci

pomocí skriptů již nebudu uvádět, ale naopak využiji obrázek 26 k popisu směrování

paketů v těchto tunelech.

Obrázek 27 – Design sítě založené na L2TP

Princip sestavení tunelu je velmi podobný PPTP, kdy jedna strana je volající a druhá

volaná. Po spojení a vzájemné autentifikaci a autorizaci je tunel korektně nastaven

pro protokol IP. Jsou nastaveny adresy pro oba konce tunelu a nastaveny routy pro

vzdálené sítě.

Pokud se tedy počítač v síti LAN 1 rozhodne komunikovat s PC v sítí LAN 2, cesta

paketů bude následující:

PC1 sestaví paket a nahlédne do své routovací tabulky 3, protože cíl zcela jistě

nedohledá, zašle paket na výchozí bránu (192.168.77.1).

Výchozí brána opět pomocí routovací tabulky vyhodnotí, že cílová adresa se

nachází na rozhraní L2TP a zašle paket na vzdálený prvek (IP 10.1010.2).

Tento router již velmi pravdě podobně zná PC s patřičnou IP adresou, takže

paket dle MAC adresy doručí do cílové stanice.

Cílová stanice po analýze paketu zjistí, že zdrojová IP se nenachází ve stejném

segmentu jako ona samotná, a proto paket s odpovědí zašle na svoji výchozí

bránu.

Dále společná komunikace postupuje opět dle jednotlivých bodů, dokud není spojení

ukončeno.

3 Viz tabulka 2 na straně 15

53

3.4. Datová propustnost versus šifrování

V této předposlední kapitole se zaměřím na zajímavé hledisko pro VPN, které jsem

zmínil v teoretické části. Během testování jednotlivých variant jsem se často zamýšlel

nad maximální možnou propustností VPN sítě. Během své praxe jsem se již setkal

s řešením, které bohužel nedokázalo obsluhovat mnoho současných připojení od

klientů, ačkoliv rychlost linky nebyla nijak závratná – pohybovala se v řádu MB/s.

Testování jsem provedl na prvku: RouterBOARD 450

300 Mhz ATHEROS CPU & 32 MB RAM

a konektivitě: 100 Mbps Full-Duplex – CAT 5E EtherNet

Obrázek 28 - Srovnání rychlosti připojení v závislosti na šifrování

Průběh měření: DUPLEX4 - SIMPLEX5 DUPLEX – SIMPLEX

Metoda testovaní: Generování náhodných TCP paketů o velikosti 1500 B. Nejprve

duplexní přenos, později střídavé testování jednoho a druhého směru.

Průběh testování mne překvapil, neboť zařízení podávalo rovnoměrný výkon, až do

plného vytížení CPU, a ačkoliv nedisponuje kryptografickým čipem, bylo schopno

4 Duplexní přenos vytíženy oba přenosové směry

5 Simplexní přenos vytížen vždy pouze jeden směr.

54

vygenerovat až 50Mbps. Pro objektivitu ovšem dodávám, že použitý algoritmus RC4

nepatří k nejsilnějším a je určen pro rychlé šifrování v reálném čase.

3.5. Transparentnost

RouterOS pro dohled nad probíhajícím provozem nabízí zajímavé metody. Delším

používáním lze dojít i k názoru, že nejlepší formou dohledu je surový výstup

integrovaného monitorovacího nástroje. Nabízí pohled na vytvořená spojení a

zdrojové resp. cílové IP. Na obrázku 27 je například dohledatelné, že využívám

vzdálenou plochu RDP, ICMP nástroj PING a počítač provádí na pozadí DNS dotaz.

Tato data lze samozřejmě analyzovat do grafické podoby a poskytnout z nich ucelený

výstup.

Obrázek 29 - Probíhající provoz na VPN

55

4. Závěr práce

Ve své bakalářské práci jsem se zabýval tématem Virtuálních sítí a jejich využití.

Cílem mé práce bylo analyzovat trh, dostupné standardy a navrhnout několik řešení

VPN. Tyto varianty následně posoudit a vypracovat vítězné řešení. Nemohu

objektivně posoudit splnění tohoto úkolu, ale věřím, že vznikl dokument vhodný

kupříkladu pro budoucí administrátory sítí. Například pro studenty, které osloví

předměty, jako jsou Počítačové sítě a podobné, které poskytnou minimální potřebné

znalosti nutné k snadnému porozumění této práce. Budu tedy doufat, že případný

typický čtenář – student na praxi, či brigádník poskytující IT podporu v menší

společnosti, nalezne dokument, který pro něj bude přínosný svým zjednodušeným

pohledem na virtuální sítě.

V teoretické části jsem se zabýval problematikou výběru vhodného VPN řešení

pro menší společnost. Vyslovil jsem domněnku, že pro takovouto společnost budou

nejdůležitější kritéria bezpečnost, cena a transparentnost. V zájmu objektivity jsem

oslovil několik kolegů a jejich názory zpracoval vícekriteriálním rozhodováním.

Vítěznou variantou se stalo řešení postavené na platformě RouterOS společnosti

Mikrotik. Tento výsledek mne rozhodně nepřekvapil, neboť již během testování

variant byl jedním z favoritů. Je ovšem těžké posoudit, jakou váhu by měla daná

kritéria, pokud bych čerpal názory a informace od majitelů menších společností, či od

středního managementu.

V praktické části jsem realizoval několik řešení pomocí prvku RouterBOARD

společnosti MikroTIK. Troufám si tvrdit, že jakkoliv je tato platforma na první pohled

komplikovaná lze se s konfigurací prvků vcelku rychle sžít a dostat se tak od

triviálních typových řešení ke komplexnějším variantám bez nutnosti jakýchkoliv

dalších nákladů.

Téma, které jsem si vybral je dostupné v široké škále literatury, ovšem je

zhusta popsáno tak, že se předpokládá rozsáhlá znalost počítačových sítí, kterou ne

každý správce disponuje. Ostatně i autor práce v roce 2001, při svém prvním setkání

s VPN rozuměl pouze pojmům jako IP adresa či výchozí brána a byl stěží schopen

nastavit domácí router.

56

Seznam použitých zkratek a pojmů

Act.Directory databáze uživatelů objektů skupin a práv v OS Windows Server

Aplet softwarová komponenta běžící v jiném programu (Java v int. Prohlížeči)

ARP služba udržující seznam MAC adres, které dané zařízení "zná"

Autentizace ověření proklamované identity uživatele, tento je následně autorizován

Autorizace udělení oprávnění objektu, či uživateli na základě úspěšné autentizace

Blackbox uzavřené hardwarové řešení výrobce, které nelze snadno modifikovat

CIDR notace dekadické číslo za lomítkem, označuje masku (rozsah) dané sítě

CLI příkazová řádka, konzole.

DMZ zóna kde se nacházejí server společnosti - často s veřejnou IP

Clientless pro navázání spojení není nutné instalovat jakýkoliv SW

CRM informační systém pro správu zákazníků a komunikaci s nimi

GUI graphic user interface - grafický výstup programu

Interface rozhraní – určitý fyzický, či logický port na směrovači čí NIC kartě

ISP internet service provider - poskytovatel internetu

MAC Adresa fyzická adresa zařízení pro adresaci v sítích

LAN lokální síť - síť omezena na určitou, nevelkou lokalitu

PING nástroj sloužící ke zjištění prodlevy mezi cílovým a zdrojovým PC

Router směrovač - aktivní síťový prvek, který směrují procházející pakety

Switch přepínač – aktivní síťový prvek, který rozesílá pakety cílovým stanicím

Ousourcing zde například správa IT externí společností

RADIUS server poskytující možnost autorizace uživatelů

SSH zde protokol, program pro vzdálenou správu zařízení

Syntaxe zde nutná posloupnost příkazů

LDAP server adresářové služby - poskytuje možnost autorizace uživatelů

TELNET postarší protokol pro vzálenou správu zařízení

PUTTY program umžnující připojení pomocí SSH či TELNET

WAN rozsáhlá síť - síť s geografickým rozsahem v rámci kontinetu

57

Seznam obrázků

Obrázek 1 - Klient – síť ....................................................................................................... 12

Obrázek 2 - Klient – Server ................................................................................................. 13

Obrázek 3 - Síť - Síť ............................................................................................................ 13

Obrázek 4 - Grafické rozhaní sítě - Windows SBS ............................................................. 25

Obrázek 5 - GUI RouterOS ................................................................................................. 27

Obrázek 6 - Pfense - pravidla firewallu ............................................................................... 28

Obrázek 7 - Kerio Control - uvodní stránka ........................................................................ 30

Obrázek 8 - Rozhodovací diagram technologií ................................................................... 31

Obrázek 9 - WinBOX login ................................................................................................ 36

Obrázek 10 - WinBOX - vyhledání zařízení ....................................................................... 37

Obrázek 11 - Odstranění konfigurace .................................................................................. 37

Obrázek 12 - Adresace rozhraní .......................................................................................... 38

Obrázek 13 - Design VPN řešení ........................................................................................ 39

Obrázek 14 - Přidání rozhraní ............................................................................................. 40

Obrázek 15 - DHCP server .................................................................................................. 43

Obrázek 16 - Správa uživatelů............................................................................................. 44

Obrázek 17 - Záloha konfigurace ........................................................................................ 45

Obrázek 18 - PPTP server ................................................................................................... 46

Obrázek 19 - Zapouzdření paketu ....................................................................................... 46

Obrázek 20 - Přidání PPP uživatele ..................................................................................... 47

Obrázek 21 - Stažení a instalace usermanager .................................................................... 48

Obrázek 22 - Login User Manager ...................................................................................... 50

Obrázek 23 - Propojení RADIUS – UserMan ..................................................................... 50

Obrázek 24 - Grafické rozhraní User Man .......................................................................... 51

Obrázek 25 - Stav síťové rozhraní VPN - WinXP .............................................................. 51

Obrázek 26 - Přehled připojených klentů - Mikrotik .......................................................... 51

Obrázek 27 – Design sítě založené na L2TP ....................................................................... 52

Obrázek 28 - Srovnání rychlosti připojení v závislosti na šifrování ................................... 53

Obrázek 29 - Probíhající provoz na VPN ............................................................................ 54

58

Seznam použité literatury a zdrojů

Literatura

[1] SHINDER, Debra. Počítačové sítě. 1. vydání. [s.l.] : SoftPress, 2003. 752 s.

ISBN 80-86497-55-0.

[2] STREBE, Matthew; PERKINS, Charles. Firewally a proxy-servery. Brno :

Computer Press, 2003. 449 s.

[5] JAROSLAV, Ramík. Vícekriteriální rozhodování. 1999. Karviná : Slezská

univerzita v Opavě, 1999. 216 s. ISBN 80-7248-047-2.

[6] DOSTÁLEK, Libor; KABELOVÁ, Alena. Velký průvodce protokoly TCP/IP

a systémem DNS. Praha : Computer Press, 200. 542 s.

[7] PUŽMANOVÁ, Rita. Moderní komunikační sítě od A do Z. Praha :

Computer Pres, 2006. 432 s.

Elektronické zdroje

[INT 1] ŠTEIDL, Přemysl. Srovnání VPN realizací. Brno, 2007. 51 s. Diplomová

práce. Masarykova univerzita. Dostupné z WWW:

<is.muni.cz/th/60463/fi_m/xsteidl1-dipr.doc>.

[INT 2] Point-to-Point Protocol. In Wikipedia : the free encyclopedia [online]. St.

Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-08-17].

Dostupné z WWW: <http://cs.wikipedia.org/wiki/Point-to-

Point_Protocol>.

[INT 3] Www.samuraj-cz.com [online]. 2011 [cit. 2011-08-17]. Dostupné z

WWW: http://www.samuraj-cz.com/clanek/vpn-1-ipsec-vpn-a-cisco/

59

[INT 4] Kryptografie. In Wikipedia : the free encyclopedia [online]. St.

Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-08-19].

Dostupné z WWW: <http://cs.wikipedia.org/wiki/Kryptografie>.

[INT 5] RADIUS. In Wikipedia : the free encyclopedia [online]. St. Petersburg

(Florida) : Wikipedia Foundation, [cit. 2011-08-19]. Dostupné z WWW:

<http://cs.wikipedia.org/wiki/RADIUS>.

[INT 6] PfSense. In Wikipedia : the free encyclopedia [online]. St. Petersburg

(Florida) : Wikipedia Foundation, [cit. 2011-08-21]. Dostupné z WWW:

<http://cs.wikipedia.org/wiki/PfSense>.

[INT 7] MikroTik. Wiki [online]. 2010 [cit. 2011-08-21]. MikroTik . Dostupné z

WWW: <http://wiki.mikrotik.com>.