VPN – Omówienie Różnych Typów Dostępu Zdalnego

VPN to bezpieczne połączenie do prywatnych zasobów danej sieci lub organizacji. Ich potrzeby czy zalety są obecnie chyba dość oczywiste i bardzo dużo firm używa tej metody komunikacji. Zasadniczo VPNy można podzielić na dwa rodzaje: dostęp typu sieć-do-sieci oraz dostęp użytkownika do sieci. Dziś chciałbym się skupić na tej drugiej opcji i krótko omówić różne dostępne rodzaje vpn: IPsec VPN, SSL VPN i PPtP.

Zdalny dostęp do sieci firmowej jest coraz powszechniejszy z bardzo prostego powodu – stajemy się bardziej mobilni, nowe technologie powodują, że chcemy się poruszać po biurze/mieście/świecie i cały czas być „online”. Część systemów może oczywiście zostać udostępniona przez www (https + dobre uwierzytelnianie i można korzystać), jednak część programów nie jest taka łatwa do www’izacji. Najczęstszą potrzebą użytkowników w kwestii zdalnego dostępu są współdzielone dyski sieciowe do pracy grupowej. A najbardziej cenioną zaletą połączeń VPN jest możliwość zdalnej pracy „jakbym siedział przy biurku”. Przyjrzyjmy się więc kilku metodom, które jako administratorzy możemy zastosować:

• PPtP – stara dobra windowsowa metoda. Zaletą jest wbudowany klient w większości systemów operacyjnych oraz łatwość terminacji na serwerach Windowsowych (oczywiście na routerach to jest również możliwe). Oparty jest na PPP i GRE. Niestety użyte protokoły do uwierzytelniania i autoryzacji „ulepione w PPtP” są uważane za niebezpieczne! Nawet Microsoft od 2012 zaleca NIE używanie tego mechanizmu. I na tym zostawmy tą kwestię.
• IPSEC – standardowy i w miarę bezpieczny. IPsec’a używamy najczęściej w połączeniach sieć-sieć jednak tutaj również się dobrze sprawdza. Niestety wymaga instalacji i konfiguracji klienta na komputerze pracownika. Cisco przez wiele lat udostępniało za darmo Cisco VPN Client – bardzo dobra i powszechnie stosowane rozwiązanie, jednak niestety powoli przestaje wspierać to oprogramowanie zachęcając do migracji na rozwiązanie Anyconnect. Oprócz problemów z klientem, mamy jeszcze kilka niedogodności: nie zawsze działa (ipsec pass thru na urządzeniach natujących – choć obecnie problemy występują rzadko) i nie zawsze jest przepuszczany (np. w hotelowym lobby, przeważnie nie działa na darmowym WiFi). Ma również zalety: na sprzęcie Cisco nie potrzebujemy licencji oprócz działającego IPseca, łatwo terminować możemy połączenia na routerze ISR lub Cisco ASA, działa zasadniczo bardzo dobrze bo to bardzo dojrzałe rozwiązanie.
• SSL VPN – najnowszy krzyk mody wśród VPNów, głównie za sprawą łatwości wdrożenia w dużych środowiskach. Nie potrzebujemy klienta – wystarczy przeglądarka! W ciągu jednego dnia możemy ustawić portal do logowania i sprawa załatwiona. Użytkownicy po uwierzytelnieniu, uruchomią w przeglądarce Javę czy ActiveX i będą mogli działać bez problemu przez zasoby VPN. Dodatkowe zalety: działa praktycznie wszędzie. Wady: konfiguracja jest często bardziej skomplikowana na koncentratorach sieciowych, na większości urządzeniach jest potrzebna dodatkowa licencja np. na routerach ISR musimy ją dokupić, na Cisco ASA mamy bezkosztowe dwie równoczesne sesje. Dodatkową wadą może być dla niektórych firm brak klienta = brak dokładnej kontroli z jakiego urządzenia się łączymy (co można rozwiązać przy pomocy mechanizmów Cisco ISE).

Którą metodę wybrać?

Do rozważenia jest IPsec i SSL. Dla większości sieci SSL VPN może być najlepszym rozwiązaniem, jednak stary dobry IPsec przy niewielkich wdrożeniach będzie działał bez zarzutu!