Zdalnie i bezpiecznie, czyli rozwiązania VPN firmy ZyXEL dla
Transkrypt
Zdalnie i bezpiecznie, czyli rozwiązania VPN firmy ZyXEL dla
Zdalnie i bezpiecznie, czyli rozwiązania VPN firmy ZyXEL dla małego i średniego biznesu. Potrzeba bezpiecznej komunikacji Gdy przedsiębiorstwo rozrasta się i zwiększa się liczba jego biur, jednym z pierwszych problemów wymagających rozwiązania jest wzajemne połączenie infrastruktury informatycznej odległych placówek. Rozwiązaniem problemu może być sieć VPN (Virtual Private Network). Jest to prywatna sieć, która używa publicznej sieci (najczęściej Internetu) do łączenia zdalnych punktów i użytkowników. Sieci VPN zapewniają dostęp zdalnym pracownikom do firmowych serwerów i intranetu, łączą oddziały firmy oraz tworzą ekstranety pomiędzy zaufanymi partnerami. Wyróżnia się dwa typy sieci VPN: Remote-Access i Site-to-Site. Remote-Access Użytkownicy pracujący w domu lub będący w podróży mogą używać połączeń sieci VPN w celu ustanowienia połączenia dostępu zdalnego z serwerem w organizacji, wykorzystując infrastrukturę sieci publicznej, takiej jak Internet. Ten typ sieci jest szczególnie użyteczny dla przedsiębiorstw, które mają zdalnych, często przemieszczających się pracowników. Site-to-Site W ramach architektury Site-to Site VPN możemy wyróżnić dwa rodzaje zastosować sieci VPN: - Intranet. Firmy mogą używać połączeń sieci VPN do ustanawiania połączeń z oddziałami znajdującymi się w różnych lokalizacjach geograficznych zapewniając obsługę routingu i bezpieczną komunikację. Ekstranet. Tunel VPN może zapewnić ograniczony dostęp do sieci firmowej zaufanym partnerom biznesowym. Bezpieczne sieci VPN można tworzyć za pomocą jednego z trzech protokołów: L2TP (Layer 2 Tunneling Protocol), IPSecurity lub SSL/TLS (Secure Sockets Layer/Transport Layer Security). Dominującym obecnie protokołem jest IPSec i jest on zaimplementowany w produktach firmy ZyXEL. Rozwiązania IPSec VPN IPSec (IP Security) jest w istocie zbiorem protokołów i metod podwyższania bezpieczeństwa w sieciach TCP/IP. IPSec może przeprowadzać autoryzację nadawcy, sprawdzać integralność danych, zapewniać poufność transmisji i sterować dostępem w sieciach IP. IPSec może być używany w różnych zastosowaniach dlatego też istnieją dwa tryby pracy tego protokołu (transport mode i tunneling mode) oraz dwa niezależne podprotokoły (AH i ESP). Protokół AH (Authentication Header), jak sama nazwa wskazuje zapewnia usługi związane z uwierzytelnieniem pakietu i integralnością przesyłanych danych. Robi to za pomocą algorytmów typu MAC (Message Authentication Code). Protokół ESP (Encapsulation Security Payload) zapewnia poufność danych plus funkcjonalność protokołu AH. Oprócz mechanizmów MAC stosuje on algorytmy szyfrujące dane. IPSec może pracować w dwóch trybach: tunelowym i transportowym. W pierwszym z nich szyfruje się nagłówek i dane każdego z pakietów, w drugim - tylko dane. Tryb transportowy stosuje się do komunikacji między komputerami, oraz komunikacji komputerów z bramami IPSec, natomiast tryb tunelowy stosuje się go głównie do komunikacji brama-brama. Zanim dowolne dwa urządzenia skomunikują się poprzez IPSec, muszą najpierw uzgodnić szereg parametrów o wspólnej nazwie Security Associations (SA). Określają one parametry kryptograficzne takie jak metody autoryzacji, szyfrowania, wspólny sekretny klucz, czasy życia tuneli itp. ZyXEL w swoich urządzeniach wspiera protokół IKE umożliwiający zautomatyzowane negocjowanie SA oraz generowanie i odświeżanie kluczy kryptograficznych. Możliwość realizacji tych funkcji przy niewielkim (lub żadnym) udziale ręcznej konfiguracji urządzeń jest krytycznym elementem, od którego zależy wzrost rozmiaru VPN. Wsparcie dla protokołu IPSec firma ZyXEL oferuje w urządzeniach serii ZyWALL i zaawansowanych urządzeniach CPE. Rodzina produktów ZyWALL oferuje klientom z sektora małych i średnich przedsiębiorstw zestaw odpowiednio dobranych funkcji oraz rozwiązań sieciowych które zapewniają bezpieczeństwo przesyłanych danych, prostotę zarządzania oraz redukują koszty utrzymania infrastruktury sieciowej. Urządzenia obsługują protokół AH oraz ESP, tryb tunelowy oraz transportowy. Użytkownik ma możliwość wyboru kryptograficznej funkcji skrótu MD5 lub SHA1, oraz algorytmu szyfrującego DES, 3DES oraz AES. Dla głównych oddziałów firmy proponujemy urządzenie ZyWALL 70/70UTM umożliwiające zestawienie do 100 jednoczesnych połączeń IPSec VPN. Przepustowość urządzenia dla połączeń VPN to 70Mbit/s. Wkrótce w ofercie pojawią się urządzenia ZyWALL 1050 dedykowane dla średnich i dużych przedsiębiorstw umożliwiające zestawienie maksymalnie do 1000 jednoczesnych połączeń VPN przy przepustowości 100Mbps (3DES/AES)! Oddział firmy Serwery zewnętrzne ZyAIR Punkt dostępowy Centrala firmy Stacje robocze Desktop/Laptop Dostęp bezprzewodowy Serwery korporacyjne Przełącznik Dimension ZyWALL 70 UTM Firewall + VPN + IDP/IDS Przełączniki Dimension ZyWALL 5 UTM Firewall + VPN + IDP/IDS Internet Stacje robocze Desktop/Laptop Pracownicy mobilni ZyWALL P1 Firewall + VPN Dostęp bezprzewodowy Pracownik zdalny ZyAIR Punkt dostępowy Dla mniejszych oddziałów firm ZyXEL oferuje urządzenia ZyWALL 35/35UTM lub ZyWALL5/5UTM umożliwiające na zestawienia odpowiednio 35 lub 10 tuneli VPN przy zapewnionych przepustowościach 30Mbps i 25Mbps z szyfrowaniem 3DES/AES. Dla pracowników mobilnych oferujemy osobisty firewall/VPN ZyWALL P1. Urządzenie umożliwia wymuszenie wybranej polityki bezpieczeństwa również na zdalnych maszynach, które łączą się z „terenu” z siecią firmową za pomocą połączeń VPN. P1 to również idealne rozwiązanie dla zdalnej administracji, umożliwiające kontrolę tunelu VPN na jego obu końcach. Wszystkie urządzenia zarządzane są z poziomu wygodnego i przejrzystego panelu WWW, dla bardziej zaawansowanych udostępniamy również wiersz poleceń umożliwiający budowę bardziej skomplikowanych konfiguracji. Dla środowisk sieciowych wykorzystujących zmienny adres IP lub/i translację adresów NAT ZyXEL zaimplentował w swoich urządzeniach obsługę DynamicDNS i Nattravelsal umożliwiając budowę tunelów VPN w każdych warunkach sieciowych. Dodatkowo urządzenia ZyWALL obniżają koszt budowy rozwiązań VPN/firewall, dzięki integracji w jednym urządzeniu sondy IDP/IDS, systemu antywirusowego, filtrów treści oraz systemu antyspamowego zapewniając jeszcze większe bezpieczeństwo na styku z sieci Internet.