Zdalnie i bezpiecznie, czyli rozwiązania VPN firmy ZyXEL dla

Zdalnie i bezpiecznie, czyli rozwiązania VPN firmy ZyXEL dla

Zdalnie i bezpiecznie, czyli rozwiązania VPN firmy ZyXEL dla małego i średniego
biznesu.
Potrzeba bezpiecznej komunikacji
Gdy przedsiębiorstwo rozrasta się i zwiększa się liczba jego biur,
jednym z pierwszych problemów wymagających rozwiązania jest wzajemne
połączenie infrastruktury informatycznej odległych placówek.
Rozwiązaniem problemu może być sieć VPN (Virtual Private Network). Jest to
prywatna sieć, która używa publicznej sieci (najczęściej Internetu) do łączenia
zdalnych punktów i użytkowników. Sieci VPN zapewniają dostęp zdalnym
pracownikom do firmowych serwerów i intranetu, łączą oddziały firmy oraz
tworzą ekstranety pomiędzy zaufanymi partnerami.
Wyróżnia się dwa typy sieci VPN: Remote-Access i Site-to-Site.
Remote-Access
Użytkownicy pracujący w domu lub będący w podróży mogą używać połączeń sieci VPN w celu
ustanowienia połączenia dostępu zdalnego z serwerem w organizacji, wykorzystując infrastrukturę
sieci publicznej, takiej jak Internet. Ten typ sieci jest szczególnie użyteczny dla przedsiębiorstw,
które mają zdalnych, często przemieszczających się pracowników.
Site-to-Site
W ramach architektury Site-to Site VPN możemy wyróżnić dwa rodzaje zastosować sieci VPN:
- Intranet. Firmy mogą używać połączeń sieci VPN do ustanawiania połączeń z oddziałami znajdującymi
się w różnych lokalizacjach geograficznych zapewniając obsługę routingu i bezpieczną komunikację.
Ekstranet. Tunel VPN może zapewnić ograniczony dostęp do sieci firmowej zaufanym partnerom
biznesowym.
Bezpieczne sieci VPN można tworzyć za pomocą jednego z trzech protokołów: L2TP (Layer 2
Tunneling Protocol), IPSecurity lub SSL/TLS (Secure Sockets Layer/Transport Layer Security).
Dominującym obecnie protokołem jest IPSec i jest on zaimplementowany w produktach firmy ZyXEL.
Rozwiązania IPSec VPN
IPSec (IP Security) jest w istocie zbiorem protokołów i metod podwyższania bezpieczeństwa w sieciach
TCP/IP. IPSec może przeprowadzać autoryzację nadawcy, sprawdzać integralność danych, zapewniać
poufność transmisji i sterować dostępem w sieciach IP.
IPSec może być używany w różnych zastosowaniach dlatego też istnieją dwa tryby pracy tego protokołu
(transport
mode
i
tunneling
mode)
oraz
dwa
niezależne
podprotokoły
(AH
i
ESP).
Protokół AH (Authentication Header), jak sama nazwa wskazuje zapewnia usługi związane z
uwierzytelnieniem pakietu i integralnością przesyłanych danych. Robi to za pomocą algorytmów typu MAC
(Message Authentication Code).
Protokół ESP (Encapsulation Security Payload) zapewnia poufność danych plus funkcjonalność protokołu
AH. Oprócz mechanizmów MAC stosuje on algorytmy szyfrujące dane.
IPSec może pracować w dwóch trybach: tunelowym i transportowym. W pierwszym z nich szyfruje się
nagłówek i dane każdego z pakietów, w drugim - tylko dane. Tryb transportowy stosuje się do komunikacji
między komputerami, oraz komunikacji komputerów z bramami IPSec, natomiast tryb tunelowy stosuje
się go głównie do komunikacji brama-brama.
Zanim dowolne dwa urządzenia skomunikują się poprzez IPSec, muszą najpierw uzgodnić szereg
parametrów o wspólnej nazwie Security Associations (SA). Określają one parametry kryptograficzne takie
jak metody autoryzacji, szyfrowania, wspólny sekretny klucz, czasy życia tuneli itp. ZyXEL w swoich
urządzeniach wspiera protokół IKE umożliwiający zautomatyzowane negocjowanie SA oraz generowanie i
odświeżanie kluczy kryptograficznych. Możliwość realizacji tych funkcji przy niewielkim (lub żadnym)
udziale ręcznej konfiguracji urządzeń jest krytycznym elementem, od którego zależy wzrost rozmiaru VPN.
Wsparcie dla protokołu IPSec firma ZyXEL
oferuje w urządzeniach serii ZyWALL i zaawansowanych
urządzeniach CPE. Rodzina produktów ZyWALL oferuje
klientom z sektora małych i średnich przedsiębiorstw
zestaw odpowiednio dobranych funkcji oraz rozwiązań
sieciowych
które
zapewniają
bezpieczeństwo
przesyłanych danych, prostotę zarządzania oraz redukują
koszty utrzymania infrastruktury sieciowej. Urządzenia
obsługują protokół AH oraz ESP, tryb tunelowy oraz
transportowy.
Użytkownik
ma
możliwość
wyboru
kryptograficznej funkcji skrótu MD5 lub SHA1, oraz
algorytmu szyfrującego DES, 3DES oraz AES.
Dla głównych oddziałów firmy proponujemy
urządzenie ZyWALL 70/70UTM umożliwiające zestawienie do 100 jednoczesnych połączeń IPSec VPN.
Przepustowość urządzenia dla połączeń VPN to 70Mbit/s. Wkrótce w ofercie pojawią się urządzenia
ZyWALL 1050 dedykowane dla średnich i dużych przedsiębiorstw umożliwiające zestawienie maksymalnie
do 1000 jednoczesnych połączeń VPN przy przepustowości 100Mbps (3DES/AES)!
Oddział firmy
Serwery
zewnętrzne
ZyAIR
Punkt dostępowy
Centrala firmy
Stacje robocze
Desktop/Laptop
Dostęp
bezprzewodowy
Serwery
korporacyjne
Przełącznik
Dimension
ZyWALL 70 UTM
Firewall + VPN
+ IDP/IDS
Przełączniki
Dimension
ZyWALL 5 UTM
Firewall + VPN
+ IDP/IDS
Internet
Stacje robocze
Desktop/Laptop
Pracownicy mobilni
ZyWALL P1
Firewall + VPN
Dostęp
bezprzewodowy
Pracownik
zdalny
ZyAIR
Punkt dostępowy
Dla mniejszych oddziałów firm ZyXEL oferuje urządzenia ZyWALL 35/35UTM lub ZyWALL5/5UTM
umożliwiające na zestawienia odpowiednio 35 lub 10 tuneli VPN przy zapewnionych przepustowościach
30Mbps i 25Mbps z szyfrowaniem 3DES/AES.
Dla pracowników mobilnych oferujemy osobisty firewall/VPN ZyWALL P1. Urządzenie umożliwia
wymuszenie wybranej polityki bezpieczeństwa również na zdalnych maszynach, które łączą się z „terenu”
z siecią firmową za pomocą połączeń VPN. P1 to również idealne rozwiązanie dla zdalnej administracji,
umożliwiające kontrolę tunelu VPN na jego obu końcach.
Wszystkie urządzenia zarządzane są z poziomu wygodnego i przejrzystego panelu WWW, dla bardziej
zaawansowanych udostępniamy również wiersz poleceń umożliwiający budowę bardziej skomplikowanych
konfiguracji. Dla środowisk sieciowych wykorzystujących zmienny adres IP lub/i translację adresów NAT
ZyXEL zaimplentował w swoich urządzeniach obsługę DynamicDNS i Nattravelsal umożliwiając budowę
tunelów VPN w każdych warunkach sieciowych.
Dodatkowo urządzenia ZyWALL obniżają koszt budowy rozwiązań VPN/firewall, dzięki integracji w
jednym urządzeniu sondy IDP/IDS, systemu antywirusowego, filtrów treści oraz systemu
antyspamowego zapewniając jeszcze większe bezpieczeństwo na styku z sieci Internet.