Możliwości wykorzystania wirtualnych sieci prywatnych w

Możliwości wykorzystania wirtualnych sieci prywatnych w

PRACE
NAUKOWE
z. 64
POLITECHNIKI
WARSZAWSKIEJ
Transport
2008
Mirosław SIERGIEJCZYK
Wydział Transportu Politechnika Warszawska
Zakład Telekomunikacji w Transporcie
ul. Koszykowa 75, 00-662 Warszawa
[email protected]
MOŻLIWOŚCI WYKORZYSTANIA WIRTUALNYCH SIECI
PRYWATNYCH W ZARZĄDZANIU FIRMAMI TRANSPORTOWYMI
Streszczenie
W pracy przedstawiona została istota wirtualnych sieci prywatnych VPN, podstawy ich funkcjonowania
oraz dostępne metody ich tworzenia. Omówiono wybrane zagadnienia projektowania wirtualnych sieci
prywatnych oraz sposoby mające na celu zapewnienie bezpieczeństwa i prawidłowe ich działanie. Wykorzystując
zasady i sposoby funkcjonowania wirtualnych sieci prywatnych przedstawiono koncepcję wdrożenia takiej sieci
VPN w wielooddziałowym przedsiębiorstwie spedycyjnym.
Słowa kluczowe: wirtualne sieci prywatne, bezpieczeństwo, przedsiębiorstwo spedycyjne
1. WPROWADZENIE
Wraz ze wzrostem popularności Internetu, wzrosło znaczenie przesyłanej informacji.
Komunikacja miedzy firmami, jednostkami w organizacjach coraz częściej odbywa się za
pośrednictwem Internetu. Coraz częściej firmy w celu podwyższenia skuteczności
i efektywności pracy wykorzystują pocztę elektroniczną, wymianę dokumentów
elektronicznych oraz transakcje handlowe prowadzone poprzez sieci komputerowe. W ciągu
ostatnich kilku lat, w wyniku geograficznego rozproszenia firm i zwiększonej mobilności
pracowników, wzrosła także dramatycznie tendencja wykorzystania Internetu czy innych sieci
publicznych do uzyskiwania zdalnego dostępu do sieci korporacyjnych. Konieczne stało się
zapewnienie poufności i autentyczności przesyłanych globalnie danych. Powstało wiele
rozwiązań zdalnego dostępu wykorzystujących sieci publiczne ogólnie nazwanych
wirtualnymi sieciami prywatnymi – VPN (Virtual Private Networks).
Idea zdalnego dostępu leżąca u podstaw techniki VPN nie jest nowa, ale VPN oferujący
możliwość tworzenia dynamicznych połączeń poprzez różne media transmisyjne wychodzi
o krok naprzód. Oprócz większej elastyczności i skalowalności, VPN dostarcza usług
funkcjonalnie równoważnych z oferowanymi przez oparte na dedykowanych łączach sieci
prywatne, wykorzystując przy tym współdzielone zasoby sieci publicznych.
Celem pracy jest analiza funkcjonowania wirtualnych sieci prywatnych w aspekcie
możliwości ich wykorzystania w firmach wielooddziałowych oraz przedstawienie metodyki
wdrożenia wirtualnej sieci prywatnej w przedsiębiorstwie spedycyjnym. Przy doborze
rozwiązania w części projektowej uwzględniono porównanie funkcjonalności protokołów
122
Mirosław Siergiejczyk
tworzenia wirtualnych sieci prywatnych – IPSec i SSL VPN oraz specyficznymi
wymaganiami firmy spedycyjnej.
2. FUNKCJONOWANIA SIECI VPN
2.1. Istota sieci VPN
Wirtualna Sieć Prywatna, zwaną potocznie „siecią VPN” (z ang. Virtual Private
Network) jest siecią przekazu danych korzystającą z publicznej infrastruktury
telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania i procedur
bezpieczeństwa zachowuje poufność danych [5]. Infrastrukturą może być sieć szkieletowa
operatora telekomunikacyjnego (np. Frame Relay lub ATM), a także globalna sieć Internet.
Sieci te nazwano „wirtualnymi”, gdyż opierają się one na dynamicznych, wirtualnych
połączeniach - wirtualnych obwodach (Virtual Circuit– wirtualny obwód – jest to połączenie
zestawiane w sieci pomiędzy nadawcą a odbiorcą, w którym trasy przesyłu danych oraz
przepływność pasma dla połączenia są ustawiane dynamicznie) czy też tunelach – nie
mających fizycznego bytu i istniejącymi tylko wtedy, gdy jest nimi przenoszony ruch.
Połączenia takie mogą być zestawiane między dwoma osobnymi urządzeniami, urządzeniem
a siecią oraz między dwoma sieciami [3].
Sieć VPN w założeniu powinna zapewniać: poufność, integralność i autentyczność
przesyłanych danych. Ogólnie wyróżniamy trzy powszechnie stosowane rodzaje sieci VPN:
zaufany VPN, bezpieczny VPN oraz hybrydowy VPN [6].
Zaufany VPN (z ang. Trusted VPN) w nomenklaturze VPN Consortium lub inaczej
Provider-based VPN - nomenklatura IETF, to łącza uzyskane od operatora
telekomunikacyjnego z zapewnieniem, że dane są odpowiednio chronione. Z technicznego
punktu widzenia nie ma gwarancji, iż urządzenia w sieci operatora, przez które przesyłane są
dane nie zostaną przejęte przez osoby nieupoważnione. Usługa tego typu świadczona przez
operatora może opierać się o łącza dzierżawione zestawione w technologii ATM, Frame
Relay czy MPLS. Operator może zapewnić odpowiednio wysoką dostępność usługi,
odpowiedni poziom jakości usług QoS (Quality-of-Service) i wymagane pasmo.
Drugim rodzajem jest bezpieczny VPN (Secure VPN) wg VPN Consortium [6] oraz CEBased VPN (Customer Equipment Based VPN – sieć VPN bazująca na urządzeniach
i oprogramowaniu klienta) wg IETF, gdzie transmisja odbywa się przez Internet, a do jej
ochrony stosuje się techniki kryptograficzne. Użytkownik lub firma sama decyduje, jakie
mechanizmy ochrony mają być zastosowane. Zaszyfrowany ruch jest widoczny jako tunel
między dwoma sieciami i nawet, jeżeli napastnik widzi ruch sieciowy, to i tak nie może go
odczytać, jak również zmodyfikować danych niezauważalnie dla strony odbiorczej. Dużą
zaletą tego rozwiązania jest koszt , ponieważ VPN wykorzystuje zwykłe łącze internetowe
posiadane przez firmę, którego koszt utrzymania jest o wiele niższy niż dedykowanego łącza
dzierżawionego. Należy jednak zauważyć, że bezpieczny VPN realizowany jest przez łącza
publiczne, gdzie operatorzy nie mogą zapewnić takich samych parametrów sieci na całej
drodze transmisji.
Istnieje jeszcze rodzaj sieci VPN integrujący dwa powyższe. Są to hybrydowe sieci
VPN (z ang. Hybrid VPN), które stosuje się do przesyłania poufnych informacji wrażliwych
na opóźnienia w sieci, np. VoIP. Transmisja w tym wypadku realizowana jest przez łącza
dzierżawione, odpowiednio zabezpieczone za pomocą technik kryptograficznych.
Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi
123
2.2.Topologie sieci VPN
Sieci VPN możemy budować w oparciu o dwie topologie logiczne: site-site oraz clientsite. W topologii client-site pracownik mobilny posiadający zainstalowane na swoim
komputerze oprogramowanie klienckie łączy się z siedzibą firmy, w której znajduje się
urządzenie sieciowe (np. router, firewall, koncentrator VPN) z uruchomioną obsługą połączeń
VPN. Rozwiązanie to sprawdza się doskonale w sytuacji, gdy pracownicy firmy
przemieszczają się, zmieniając swoje stanowisko pracy, potrzebując przy tym niezawodnego
i wygodnego dostępu do danych znajdujących się na serwerach w centrali firmy.
Topologia site-site znajduje szereg zastosowań w sytuacji, gdy firma posiada wiele
oddziałów i zachodzi potrzeba zapewnienia komunikacji pomiędzy nimi. Na potrzeby
realizacji połączeń VPN konfigurowane są urządzenia w centrali i oddziale firmy. Wyróżnia
się dwie odmiany topologii site-site, Meshed VPN oraz Hub and Spoke VPN. Konfiguracja
Meshed VPN to struktura połączeń „każdy z każdym”. Wszystkie węzły są ze sobą połączone.
Takie rozwiązanie jest bezpieczne i odporne na awarie. Należy nadmienić, że połączenia VPN
nie mają wpływu na fizyczną topologię sieci. Rozwiązanie „każdy z każdym” posiada jednak
dużą wadę. Wraz ze wzrostem liczby węzłów gwałtownie rośnie ilość potrzebnych do
zestawienia tuneli. Ilość tuneli (x) można wyznaczyć ze wzoru:
x = n × (n − 1) /2
(1)
gdzie: n jest liczbą węzłów w sieci.
Wynika z tego, iż dla 10 węzłów należy zestawić aż 45 tuneli. W sytuacji, gdy trzeba
zapewnić odpowiednią przepustowość pomiędzy oddziałami, z ekonomicznego punktu
widzenia lepiej jest zastosować rozwiązanie Hub & Spoke, które odpowiada topologii
gwiazdy. Jednak i to rozwiązanie nie jest pozbawione wad. W przypadku awarii centralnego
węzła sieć przestaje działać. Można minimalizować skutki awarii, poprzez zastosowanie
topologii gwiazdy rozszerzonej, tzn. stosując np. dwa centralne węzły.
Topologia client-site służy do budowania sieci typu remote Access (zdalny dostęp). Ten
typ VPN nazywany jest również jako VPDN (Virtual Private Dial-up Network) i łączy on
użytkowników końcowych z siecią lokalną firmy. Ten typ stosuje się najczęściej dla
pracowników mobilnych korzystających z zasobów firmy.
2.3.Wymagania bezpieczeństwa dla sieci VPN
Wymagania dotyczące bezpiecznych sieci VPN:
a) cały ruch w VPN musi być zaszyfrowany i uwierzytelniony.
b) własności bezpieczeństwa muszą być zgodne po obu stronach tunelu. Administratorzy
każdej pary zdalnych lokalizacji muszą wprowadzić takie same zasady bezpieczeństwa
dla tuneli między nimi.
c) nikt spoza sieci VPN nie powinien mieć możliwości zmiany własności bezpieczeństwa
tuneli VPN. Atakujący nie może mieć możliwości zmiany ustawień tuneli VPN, jak
np. osłabić szyfrowanie czy wpłynąć na to, jakie klucze szyfrowania zostaną użyte.
Wymagania dotyczące zaufanych sieci VPN:
a) tylko dostawca usługi (operator) może mieć wpływu na tworzenie, czy modyfikacje
ścieżek w VPN. Rozwiązanie to opiera się na zaufaniu klienta do dostawcy, że ten
zapewni i będzie kontrolował tunel VPN.
Mirosław Siergiejczyk
124
b) dostawca usługi (operator) może zmieniać, dodawać czy usuwać dane na drodze, po
której przebiega VPN. Zaufany VPN to nie tylko zbiór wytyczonych ścieżek, to także
dane przesyłane przez te ścieżki. Zazwyczaj ta sama droga w sieci jest współdzielona
pomiędzy wielu klientów operatora, dlatego też ścieżka, którą biegnie VPN musi być
specyficzna dla niego i nikt poza zaufanym ISP nie może mieć wpływu na dane w niej
płynące.
c) routing i adresacja w zaufanym VPN musi być ustalona przed jego utworzeniem.
Klient musi znać swoje oczekiwania oraz musi znać oczekiwania dostawcy usług, aby
można było utworzyć plan utrzymania i zarządzania sieci.
Wymagania dotyczące hybrydowych sieci VPN:
a) granice adresacji między zaufanym VPN a bezpiecznym VPN muszą być jasno
określone. W rozwiązaniu hybrydowym, bezpieczny VPN może być podsiecią
zaufanego VPN, np. jeden dział w firmie może mieć swój bezpieczny VPN, który
biegnie przez korporacyjny zaufany VPN. Dla każdej pary adresów IP w hybrydowym
VPN, administrator musi być zdolny określić czy ruch pomiędzy nimi jest albo nie jest
częścią bezpiecznego VPN [1].
3. METODYKA PROJEKTOWANIA SIECI VPN
Zabezpieczenia VPN działają zwykle na urządzeniach firewall – zaporach sieciowych,
jednak ich projektowanie można wykonać oddzielnie. Realizują one bowiem inne, dla siebie
specyficzne założenia ochrony. Projektując zabezpieczenia VPN należy kolejno przechodzić
przez następujące etapy:
•
•
•
•
•
•
Ustalenie usług systemu informatycznego wymagających ochrony VPN.
Oszacowanie znaczenia usług dostępnych poprzez VPN dla instytucji, określane
zazwyczaj w odniesieniu do realizowanych bądź wspomaganych zadań biznesowych
instytucji.
Specyfikacja wymagań bezpieczeństwa, której wynik umożliwia dokonanie wyboru co
do użycia odpowiedniej technologii zabezpieczeń (algorytmów szyfrowania, funkcji
haszujących, metod uwierzytelniania i środków ochrony przed awariami).
Ustalenie struktury i topologii sieci VPN. W schemacie sieci VPN należy przedstawić
lokalizację urządzeń i klientów VPN oraz tunele site-site (w topologii kraty lub
zcentralizowanej) i client-site.
Specyfikacja zabezpieczeń dla każdego tunelu VPN. Powinna zawierać takie
parametry, jak: metoda uwierzytelniania VPN, algorytmy szyfrowania
i uwierzytelniania wiadomości, w przypadku tuneli IPSec także tryb fazy 1 IKE, grupę
Diffiego-Hellmana, PFS i Replay Protection, NAT-T, czasy renegocjacji SA, Dead
Peer Detection.
Specyfikacja urządzeń/klientów VPN zawierająca parametry, które mogą być
negocjowane. Dla tuneli IPSec są to m.in.: adresacja urządzenia/klienta VPN, domena
VPN, wspierane metody uwierzytelniania i szyfrowania, wspierane grupy DiffiegoHellmana, wspierane opcje ochrony, obsługa NAT-T [4].
Parametry, które pomogą w wyborze odpowiedniego sprzętu, jak i oprogramowania dla
projektowanej sieci VPN to między innymi:
•
•
parametry wydajnościowe, jak najwyższa ciągła przepustowość,
parametry bezpieczeństwa, jak wspierane mechanizmy uwierzytelniania i szyfrowania,
Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi
•
•
•
125
maksymalna liczba jednoczesnych połączeń,
integracja z istniejącą infrastrukturą sieciową,
dostępność wsparcia technicznego i łatwa możliwość rozbudowy.
4. PRZYKŁAD WDROŻENIA SIECI VPN W PRZEDSIĘBIORSTWIE SPEDYCYJNYM
4.1.Charakterystyka firmy i celowość wdrożenia zabezpieczeń VPN
Firma spedycyjna posiada jedną główną siedzibę oraz pięć oddziałów, w tym trzy poza
granicami kraju. Współpracuje z wieloma firmami z branży transportowej i FMCG, zarówno
w kraju, jak i za granicą. Oprócz korzystania z usług prywatnych przewoźników posiada
również własną flotę samochodów ciężarowych, których kierowcy wyposażeni są
w urządzenia PDA. Firma zatrudnia, także wielu mobilnych pracowników, którzy niezależnie
od miejsca przebywania potrzebują mieć dostęp do zasobów sieciowym organizacji. W każdej
lokalizacji jest eksploatowana lokalna sieć komputerowa. W siedzibie głównej –sieć LAN 1.
W lokalizacjach oddziałowych odpowiednio sieci LAN 2, LAN 3, LAN 4, LAN 5. LAN 6.
Z każdej z tych sieci dostęp do sieci Internet świadczony jest poprzez łącza w technologii
ADSL. Dla realizacji usług głosowych firma korzystała z telefonicznych linii cyfrowych
ISDN BRA w oddziałach oraz ISDN PRA w siedzibie głównej, przyłączonych do central
PABX.
Poza dostępem HTTPS do serwera MS Exchange, firma nie korzysta z żadnego
rozwiązania zdalnego dostępu oferującego bezpieczną wymianę informacji między
oddziałami. Pracownicy poza dostępem do poczty nie mają możliwości uzyskania zdalnego
dostępu do innych usług. Administratorzy używają oprogramowania zdalnego dostępu VNC
do kontroli serwerów, co powoduje utworzenie poważnych luk w zabezpieczeniach sieci.
Brak możliwości bezpiecznej komunikacji między oddziałami wymusza posiadanie
serwera baz danych w każdym z oddziałów, co znacznie podnosi koszty inwestycyjne
(CAPEX), jak i operacyjne (OPEX) firmy. Pracownicy odległych oddziałów firmy nie mają
możliwości korzystania z serwera domeny NT w centrali firmy, co zmniejsza kontrolę nad
dostępem pracowników do zasobów sieciowych oraz ich stacjami roboczymi. Brak
zcentralizowanego zarządzania środowiskiem sieciowym powoduje zwiększenie potrzebnej
ilości pracowników działu IT oraz większą podatność sieci komputerowej na zagrożenia
płynące z sieci Internet. Ogranicza także, przyszły rozwój firmy, utworzenie nowego oddziału
wiązać się będzie z dużymi kosztami inwestycyjnymi, m.in. na serwery usług.
Biorąc pod uwagę aspekty funkcjonowania przedsiębiorstwa oraz przedstawioną
wcześniej analizę protokołów VPN można wywnioskować, iż projektowana wirtualna sieć
prywatna powinna być zbudowana w topologii zcentralizowanej w oparciu o tunele IPSec.
Wybór technologii IPSec uzasadniony jest potrzebą zbudowania wielu połączeń site-to-site,
poprzez które udostępniany będzie dostęp do wielu usług, co w przypadku wykorzystania
protokołu SSL byłoby bardzo nieefektywne. Mobilni pracownicy, także potrzebują zdalnego
dostępu do szerokiego zakresu usług sieciowych, co w przypadku IPSec można udostępnić za
pomocą jednego tunelu, natomiast przy użyciu techniki SSL VPN, dla każdej aplikacji
należałoby zestawiać oddzielny tunel. Polityka bezpieczeństwa firmy wymaga, by
użytkownicy łączyli się do sieci VPN jedynie z firmowych, zarządzanych komputerów, co
zmniejsza użyteczną funkcjonalność technologii SSL VPN.
Mirosław Siergiejczyk
126
4.2.Usługi wymagające zabezpieczeń VPN
Praktycznie wszystkie usługi uruchomione w sieci wymagają zabezpieczeń VPN przy
korzystaniu z nich w dostępie zdalnym. Najważniejsze usługi w sieci to:
•
•
•
•
MS SQL Server – baza danych zawierająca informacje o klientach i procesach
biznesowych jest główną aplikacją wykorzystywaną przez pracowników firmy.
Stanowi także element systemu CRM i ERP. Przechowywane tam dane są tajemnicą
firmy i wymagają zapewnienia poufności podczas ich przesyłania pomiędzy
oddziałami.
MS Exchange Server – dostęp do poczty elektronicznej w zdalnych oddziałach
powinien odbywać się poprzez sieć VPN, ze względu na poufny charakter
komunikacji między pracownikami.
Active Directory i SMB – usługi katalogowe i udostępnianie zasobów sieciowych,
jako usługi do których powinny mieć dostęp tylko osoby uprawnione (pracownicy
organizacji) powinny być chronione przez zabezpieczenia sieci VPN.
Cała komunikacja sieciowa pomiędzy oddziałami, oprócz komunikacji do serwerów
w strefie zdemilitaryzowanej (DMZ), powinna być chroniona przez zabezpieczenia
VPN.
4.3.Przeznaczenie i funkcjonalność sieci FS VPN
Sieć FS VPN (FS- firma spedycyjna) jest systemem teleinformatycznym
umożliwiającym wzajemną komunikację i wymianę danych pomiędzy mobilnymi
pracownikami i oddziałami firmy. Opiera się on na technologii koncepcji dynamicznych sieci
VPN (DMVPN). Zapewnia bezpieczną wymianę informacji i umożliwia przesyłanie głosu
poprzez wirtualne tunele zestawiane w technologii IPSec. Wirtualna sieć prywatna
zbudowana jest w topologii zcentralizowanej (Hub & Spoke), gdzie wszystkie oddziały łączą
się do jednego miejsca – koncentratora, ale dzięki zastosowaniu dodatkowych tuneli GRE i
uruchomionych w nich protokołach NHRP(ang. Next Hop Resolution Protocol - protokół
pozwalający wyznaczyć najkrótszą trasę do urządzenia docelowego i EIGRP (protokół
routingu dynamicznego) umożliwia także automatyczne tworzenie połączeń spoke-to-spoke
do bezpośredniej komunikacji między oddziałami. Pozwala to odciążyć łącze i urządzenia
sieciowe w centrali firmy.
Przy doborze urządzeń brano pod uwagę założenia stworzone na podstawie
wymaganych przez firmę funkcjonalności oraz wyliczoną potrzebną wydajność dla potrzeb
świadczenie usług telefonii IP.
Koncepcja rozwiązania VPN SPED przedstawiona jest na rysunku 1 zawierającym
schemat ideowy rozwiązania. Przy wyliczaniu potrzebnej wydajności routerów i łączy WAN
wzięto pod uwagę następujące założenia:
1. Ruch VoIP pomiędzy oddziałami powinien stanowić maksymalnie 33% całkowitego
dostępnego pasma łącza WAN, a sygnalizacja telefonii IP – 5%. Reszta pasma
przeznaczona jest pozostałych typów ruchu,
2. Średnie natężenie ruchu telefonicznego w firmie to 0,2 Erlanga na użytkownika,
3. Połączenia wykonywane do sieci PSTN stanowią 60% całego ruchu, a połączenia
między oddziałami 40%,
4. Jedna rozmowa VoIP zakodowana za pomocą kodera G.729 z prędkością 50 pakietów
na minutę przy średniej wielkości pakietu równej 140 bajtów, przesyłana przez tunel
IPSec GRE wymaga przepływności 56 kb/s w każdą stronę,
Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi
127
5. Średnio 33% pasma łączy w oddziałach jest wykorzystywana do ruchu w kierunku
centrali firmy.
Rys. 1. Schemat ideowy rozwiązania FS VPN
Źródło: opracowanie własne.
Tabela 1 przedstawia wartości natężenia ruchu i przepływności, jakie wymagane są do
prawidłowego funkcjonowania telefonii IP w przedsiębiorstwie. Do obliczeń wykorzystano
typ B modelu Erlanga z założonym trzy-procentowym prawdopodobieństwem niepowodzenia
zestawienia połączenia. Na podstawie wyliczonych danych określona została oczekiwana
wydajność routerów.
Tabela 1. Wymagania wydajnościowe urządzeń VPN dla świadczenia usług VoIP
LAN
Wymagana Przepływność
Wymagana
Wymagana
Wymagana
minimalna
minimalna
liczba
linii
liczba
kanałów
liczba linii
Liczba BHT
przepływność
wymagana
telefonicznych
telefonii IP
użytk. [Erl.] telefonicznych
łącza dla
dla całego
(60% ruchu
(40% ruchu
(3% pr-stwo
telefonii IP ruchu w jedną
telefonicznego)
telefonicznego)
blokady)
[b/s]
stronę [b/s]
LAN 1 60
12
18
11
7
392000
1064000
LAN 2 18
3,6
8
5
3
168000
509091
LAN 3 20
4
9
5
4
224000
678788
LAN 4 28
5,6
11
7
4
224000
678788
LAN 5 25
5
10
6
4
224000
678788
LAN 6 25
5
10
6
4
224000
678788
BHT (ang. Busy Hour Traffic) – natężenie ruchu telefonicznego podczas godziny o największym ruchu BHCA.
Źródło: opracowanie własne
Minimalna przepływność łącza internetowego w oddziale 2 powinna wynosić 497/497
kb/s, natomiast w oddziałach LAN 3, LAN 4, LAN 5 i LAN 6 663/663 kb/s. Ze względu na
rolę koncentratora, jaką pełni sieć LAN 1, należy zapewnić dla tej sieci odpowiedni zapas
Mirosław Siergiejczyk
128
przepustowości łącza internetowego, aby można było obsłużyć ruch ze wszystkich oddziałów.
W jej wypadku minimalna przepływność została przedstawiona, jako 33% (założony stopień
rozłożenia ruchu w oddziałach) sumy przepływności łączy oddziałów firmy i wynosi
1039/1039 kb/s.
Wydajność routera w siedzibie głównej wyliczona została ze wzoru:
W = ( ( UL1 + DL1 + … + ULn + DLn ) * 33% ) + z
(2)
gdzie:
W
– wydajność routera,
ULn – przepływność łącza do sieci WAN z n-tego oddziału [Mb/s],
DLn – przepływność łącza z sieci WAN do n-tego oddziału [Mb/s],
33% – założony stopień wykorzystania łączy w oddziałach do transmisji w kierunku
centrali firmy,
z
– oszacowany nadmiar wydajności na takie zadania routera, jak: routing vlan czy
przełączanie pakietów w LAN (dla routera w centrali przyjęto wartość 6 Mb/s, a
dla routerów w oddziałach 2 Mb/s).
Wydajność routerów zlokalizowanych w oddziałach była wyliczona ze wzoru:
W = ULn + DLn + z
(3)
Wyniki przedstawia tabela 2.
Tabela 2. Minimalne wydajności routerów VPN
Sieć
Przepływność łącza WAN [Mb/s] Nadmiar (z) [Mb] Minimalna wydajność routera [Mb/s]
LAN 1
1,13
6
8,03
LAN 2
0,49
2
2,97
LAN 3
0,65
2
3,29
LAN 4
0,65
2
3,29
LAN 5
0,65
2
3,29
LAN 6
0,65
2
3,29
Źródło: opracowanie własne
Wymagana wydajność routera w sieci LAN1 przy włączonych usługach FW, VPN,
VoIP, IP PBX, VLAN switching powinna wynosić minimum 8 Mb/s. Wydajność routerów w
sieciach oddziałów firmy, przy uruchomionych usługach FW, VPN, VoIP, IP PBX, VLAN
switching powinna wynosić około 3,3 Mb/s.
Łączność pomiędzy oddziałami realizowana jest poprzez publiczną sieć Internet. Router
pełniący rolę koncentratora musi posiadać statyczny adres IP na interfejsie do sieci Internet
(interfejs WAN FE0/1), pozostałe routery mogą posiadać adresy dynamiczne. Architekturę
logiczną systemu przestawiającą połączenia pomiędzy lokalizacjami firmy z wykorzystaniem
sieci VPN zamieszczono na rysunku 2.
Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi
129
Rys. 2. Schemat połączeń VPN pomiędzy lokalizacjami firmy
Źródło: opracowanie własne
Wdrożenie w przedsiębiorstwie sieci VPN zapewni:
•
•
•
•
•
•
•
•
Poufną komunikację pomiędzy oddziałami z wykorzystaniem publicznej sieci Internet,
Ograniczenie ilości serwerów w oddziałach firmy,
Bezpieczny dostęp do zasobów firmy zarówno dla pracowników stacjonarnych, jak
i mobilnych,
Większą kontrolę nad uprawnieniami użytkowników, dzięki uwierzytelnianiu
RADIUS i możliwości logowaniu do domeny NT przez każdego użytkownika,
Silne, bazujące na hasłach dynamicznych uwierzytelnianie użytkowników,
Transmisję głosu i wideo przez tunele VPN (telefonia IP i wideokonferencje), co
zmniejszy koszty utrzymania standardowych linii telefonicznych,
Współpracę z istniejącymi urządzeniami sieciowymi i z urządzeniami PDA,
Centralne i łatwe zarządzanie, wysoką skalowalność i zmniejszenie przyszłych
kosztów inwestycyjnych (CAPEX) i operacyjnych (OPEX).
5. ZAKOŃCZENIE
Zastosowanie sieci VPN jako skalowanego rozwiązania zdalnego dostępu przyczynia
się do wzrostu produktywności, decentralizacji oraz uniezależnienia pracownika od miejsca
pracy. Wdrożenie telepracy podnosi atrakcyjność pracodawcy i pozwala na pozyskanie
specjalistów mniejszym kosztem. Również, w dobie ekspansji sieci ekstranetowych
i intranetowych firmy muszą chronić prywatność informacji wymienianych między
oddziałami, partnerami handlowymi i klientami, co zapewniają systemy kryptograficzne
stosowane w sieciach VPN.
Duża liczba specyfikacji rozwiązań dla sieci VPN daje projektantom sieci szerokie pole
działania. Mogą wybierać z pośród technik tworzenia sieci VPN dostarczanych przez
operatorów telekomunikacyjnych, a także jeżeli chcą być pewni, że ich tunel jest właściwie
zabezpieczony, mogą wybrać jeden z typów bezpiecznych sieci VPN, które buduje się na
własnych urządzeniach i mechanizmach bezpieczeństwa przez nie udostępnianych. Ten drugi
typ jest najpowszechniej stosowany, głównie ze względu na niski koszt utrzymania,
Mirosław Siergiejczyk
130
zawierający się głównie w cenie łącza internetowego. Do tego taka sieć VPN, poprzez
znajomość mechanizmów bezpieczeństwa w niej zastosowanych, daje nam jasne pojęcie, jak
dobrze są chronione nasze dane.
Przedstawiona w przykładzie technika dynamicznego tworzenia tuneli VPN jest bardzo
dobrym wyborem w przypadku przedsiębiorstw z dużą ilością oddziałów, a także, gdy
wymagane jest przesyłanie pomiędzy sieciami protokołów innych niż IP oraz informacji
protokołów trasujących. Dynamiczne wielopunktowe sieci VPN (DMVPN), jako iż
zbudowane są w topologii zcentralizowanej, pozwalają na użycie dynamicznie przydzielanych
adresów IP w zdalnych lokalizacjach, co w znacznym stopniu ogranicza koszty związane
z utrzymaniem łącza do sieci WAN. Sieci DMVPN znacznie upraszczają i skracają
konfigurację głównego urządzenia VPN (koncentratora), a dzięki tablicom NHRP i EIGRP
o osiągalności sieci oddziałowych, pozwalają także zestawianie połączeń między różnymi
oddziałami bez potrzeby dodatkowej konfiguracji urządzeń.
Rozwiązanie FS VPN, dzięki zdolności do dynamicznego tworzenie tuneli VPN,
posiada wymaganą przez zleceniodawcę elastyczność i skalowalność. Dzięki zastosowaniu
dynamicznych tuneli, konfiguracja koncentratora VPN jest zminimalizowana i uproszczona.
W rozwiązaniu można uruchomić m.in. usługi telefonii IP, PABX oraz wideokonferencji.
Wykorzystanie sieci Internet do komunikacji między oddziałami pozwoli zredukować koszty
utrzymania łączy WAN i linii telefonicznych.
LITERATURA
[1]
[2]
[3]
[4]
[5]
[6]
Cole E., Krutz R., Conley J.W.: Network Security Bible, Wiley Publishing, Inc, Indianapolis
2005
Nader J.C.: VPNs Illustrated: Tunnels, VPNs, and IPSec, Addison Wesley Professional 2005.
Siergiejczyk M., Gago S.: Wybrane zagadnienia realizacji wirtualnych sieci prywatnych
w telekomunikacji kolejowej, Politechnika Warszawska Prace Naukowe Transport. Zeszyt 61.
Oficyna Wydawnicza Politechniki Warszawskiej. Warszawa 2007.
Stawowski M.: Projektowanie i praktyczne implementacje sieci VPN, ArsKom, Warszawa
2004.
VPN Definition, http://www.vpnc.org
VPN Technologies: Definitions and Requirements – VPN Consortium, http://www.vpnc.org/
THE POSSIBILITIES OF IMPLEMENTING VIRTUAL PRIVATE NETWORKS IN THE
MANAGEMENT FORWARDING FIRMS
Abstract
A technology of Virtual Private Networks was shown in this thesis - fundamentals of their functionality
and available techniques of creation. Some place was also spared for VPNs designing issues including
methodology, security issues and their proper functioning. That knowledge was used to draw up a VPNs
implementation project in a multi-branch forwarding company.
Keywords: virtual private network, security, forwarding company
Recenzenci: Jerzy Kwaśnikowski, Marek Grzybowski