MOŻLIWOŚCI WYKORZYSTANIA WIRTUALNYCH SIECI PRYWATNYCH W ZARZĄDZANIU FIRMAMI TRANSPORTOWYMI

Transkrypt

1 PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ z. 64 Transport 2008 Mirosław SIERGIEJCZYK Wydział Transportu Politechnika Warszawska Zakład Telekomunikacji w Transporcie ul. Koszykowa 75, Warszawa msi@it.pw.edu.pl MOŻLIWOŚCI WYKORZYSTANIA WIRTUALNYCH SIECI PRYWATNYCH W ZARZĄDZANIU FIRMAMI TRANSPORTOWYMI Streszczenie W pracy przedstawiona została istota wirtualnych sieci prywatnych VPN, podstawy ich funkcjonowania oraz dostępne metody ich tworzenia. Omówiono wybrane zagadnienia projektowania wirtualnych sieci prywatnych oraz sposoby mające na celu zapewnienie bezpieczeństwa i prawidłowe ich działanie. Wykorzystując zasady i sposoby funkcjonowania wirtualnych sieci prywatnych przedstawiono koncepcję wdrożenia takiej sieci VPN w wielooddziałowym przedsiębiorstwie spedycyjnym. Słowa kluczowe: wirtualne sieci prywatne, bezpieczeństwo, przedsiębiorstwo spedycyjne 1. WPROWADZENIE Wraz ze wzrostem popularności Internetu, wzrosło znaczenie przesyłanej informacji. Komunikacja miedzy firmami, jednostkami w organizacjach coraz częściej odbywa się za pośrednictwem Internetu. Coraz częściej firmy w celu podwyższenia skuteczności i efektywności pracy wykorzystują pocztę elektroniczną, wymianę dokumentów elektronicznych oraz transakcje handlowe prowadzone poprzez sieci komputerowe. W ciągu ostatnich kilku lat, w wyniku geograficznego rozproszenia firm i zwiększonej mobilności pracowników, wzrosła także dramatycznie tendencja wykorzystania Internetu czy innych sieci publicznych do uzyskiwania zdalnego dostępu do sieci korporacyjnych. Konieczne stało się zapewnienie poufności i autentyczności przesyłanych globalnie danych. Powstało wiele rozwiązań zdalnego dostępu wykorzystujących sieci publiczne ogólnie nazwanych wirtualnymi sieciami prywatnymi VPN (Virtual Private Networks). Idea zdalnego dostępu leżąca u podstaw techniki VPN nie jest nowa, ale VPN oferujący możliwość tworzenia dynamicznych połączeń poprzez różne media transmisyjne wychodzi o krok naprzód. Oprócz większej elastyczności i skalowalności, VPN dostarcza usług funkcjonalnie równoważnych z oferowanymi przez oparte na dedykowanych łączach sieci prywatne, wykorzystując przy tym współdzielone zasoby sieci publicznych. Celem pracy jest analiza funkcjonowania wirtualnych sieci prywatnych w aspekcie możliwości ich wykorzystania w firmach wielooddziałowych oraz przedstawienie metodyki wdrożenia wirtualnej sieci prywatnej w przedsiębiorstwie spedycyjnym. Przy doborze rozwiązania w części projektowej uwzględniono porównanie funkcjonalności protokołów

2 122 Mirosław Siergiejczyk tworzenia wirtualnych sieci prywatnych IPSec i SSL VPN oraz specyficznymi wymaganiami firmy spedycyjnej. 2. FUNKCJONOWANIA SIECI VPN 2.1. Istota sieci VPN Wirtualna Sieć Prywatna, zwaną potocznie siecią VPN (z ang. Virtual Private Network) jest siecią przekazu danych korzystającą z publicznej infrastruktury telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania i procedur bezpieczeństwa zachowuje poufność danych [5]. Infrastrukturą może być sieć szkieletowa operatora telekomunikacyjnego (np. Frame Relay lub ATM), a także globalna sieć Internet. Sieci te nazwano wirtualnymi, gdyż opierają się one na dynamicznych, wirtualnych połączeniach - wirtualnych obwodach (Virtual Circuit wirtualny obwód jest to połączenie zestawiane w sieci pomiędzy nadawcą a odbiorcą, w którym trasy przesyłu danych oraz przepływność pasma dla połączenia są ustawiane dynamicznie) czy też tunelach nie mających fizycznego bytu i istniejącymi tylko wtedy, gdy jest nimi przenoszony ruch. Połączenia takie mogą być zestawiane między dwoma osobnymi urządzeniami, urządzeniem a siecią oraz między dwoma sieciami [3]. Sieć VPN w założeniu powinna zapewniać: poufność, integralność i autentyczność przesyłanych danych. Ogólnie wyróżniamy trzy powszechnie stosowane rodzaje sieci VPN: zaufany VPN, bezpieczny VPN oraz hybrydowy VPN [6]. Zaufany VPN (z ang. Trusted VPN) w nomenklaturze VPN Consortium lub inaczej Provider-based VPN - nomenklatura IETF, to łącza uzyskane od operatora telekomunikacyjnego z zapewnieniem, że dane są odpowiednio chronione. Z technicznego punktu widzenia nie ma gwarancji, iż urządzenia w sieci operatora, przez które przesyłane są dane nie zostaną przejęte przez osoby nieupoważnione. Usługa tego typu świadczona przez operatora może opierać się o łącza dzierżawione zestawione w technologii ATM, Frame Relay czy MPLS. Operator może zapewnić odpowiednio wysoką dostępność usługi, odpowiedni poziom jakości usług QoS (Quality-of-Service) i wymagane pasmo. Drugim rodzajem jest bezpieczny VPN (Secure VPN) wg VPN Consortium [6] oraz CE- Based VPN (Customer Equipment Based VPN sieć VPN bazująca na urządzeniach i oprogramowaniu klienta) wg IETF, gdzie transmisja odbywa się przez Internet, a do jej ochrony stosuje się techniki kryptograficzne. Użytkownik lub firma sama decyduje, jakie mechanizmy ochrony mają być zastosowane. Zaszyfrowany ruch jest widoczny jako tunel między dwoma sieciami i nawet, jeżeli napastnik widzi ruch sieciowy, to i tak nie może go odczytać, jak również zmodyfikować danych niezauważalnie dla strony odbiorczej. Dużą zaletą tego rozwiązania jest koszt, ponieważ VPN wykorzystuje zwykłe łącze internetowe posiadane przez firmę, którego koszt utrzymania jest o wiele niższy niż dedykowanego łącza dzierżawionego. Należy jednak zauważyć, że bezpieczny VPN realizowany jest przez łącza publiczne, gdzie operatorzy nie mogą zapewnić takich samych parametrów sieci na całej drodze transmisji. Istnieje jeszcze rodzaj sieci VPN integrujący dwa powyższe. Są to hybrydowe sieci VPN (z ang. Hybrid VPN), które stosuje się do przesyłania poufnych informacji wrażliwych na opóźnienia w sieci, np. VoIP. Transmisja w tym wypadku realizowana jest przez łącza dzierżawione, odpowiednio zabezpieczone za pomocą technik kryptograficznych.

3 Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi Topologie sieci VPN Sieci VPN możemy budować w oparciu o dwie topologie logiczne: site-site oraz clientsite. W topologii client-site pracownik mobilny posiadający zainstalowane na swoim komputerze oprogramowanie klienckie łączy się z siedzibą firmy, w której znajduje się urządzenie sieciowe (np. router, firewall, koncentrator VPN) z uruchomioną obsługą połączeń VPN. Rozwiązanie to sprawdza się doskonale w sytuacji, gdy pracownicy firmy przemieszczają się, zmieniając swoje stanowisko pracy, potrzebując przy tym niezawodnego i wygodnego dostępu do danych znajdujących się na serwerach w centrali firmy. Topologia site-site znajduje szereg zastosowań w sytuacji, gdy firma posiada wiele oddziałów i zachodzi potrzeba zapewnienia komunikacji pomiędzy nimi. Na potrzeby realizacji połączeń VPN konfigurowane są urządzenia w centrali i oddziale firmy. Wyróżnia się dwie odmiany topologii site-site, Meshed VPN oraz Hub and Spoke VPN. Konfiguracja Meshed VPN to struktura połączeń każdy z każdym. Wszystkie węzły są ze sobą połączone. Takie rozwiązanie jest bezpieczne i odporne na awarie. Należy nadmienić, że połączenia VPN nie mają wpływu na fizyczną topologię sieci. Rozwiązanie każdy z każdym posiada jednak dużą wadę. Wraz ze wzrostem liczby węzłów gwałtownie rośnie ilość potrzebnych do zestawienia tuneli. Ilość tuneli (x) można wyznaczyć ze wzoru: ( n 1) x = n /2 (1) gdzie: n jest liczbą węzłów w sieci. Wynika z tego, iż dla 10 węzłów należy zestawić aż 45 tuneli. W sytuacji, gdy trzeba zapewnić odpowiednią przepustowość pomiędzy oddziałami, z ekonomicznego punktu widzenia lepiej jest zastosować rozwiązanie Hub & Spoke, które odpowiada topologii gwiazdy. Jednak i to rozwiązanie nie jest pozbawione wad. W przypadku awarii centralnego węzła sieć przestaje działać. Można minimalizować skutki awarii, poprzez zastosowanie topologii gwiazdy rozszerzonej, tzn. stosując np. dwa centralne węzły. Topologia client-site służy do budowania sieci typu remote Access (zdalny dostęp). Ten typ VPN nazywany jest również jako VPDN (Virtual Private Dial-up Network) i łączy on użytkowników końcowych z siecią lokalną firmy. Ten typ stosuje się najczęściej dla pracowników mobilnych korzystających z zasobów firmy. 2.3.Wymagania bezpieczeństwa dla sieci VPN Wymagania dotyczące bezpiecznych sieci VPN: a) cały ruch w VPN musi być zaszyfrowany i uwierzytelniony. b) własności bezpieczeństwa muszą być zgodne po obu stronach tunelu. Administratorzy każdej pary zdalnych lokalizacji muszą wprowadzić takie same zasady bezpieczeństwa dla tuneli między nimi. c) nikt spoza sieci VPN nie powinien mieć możliwości zmiany własności bezpieczeństwa tuneli VPN. Atakujący nie może mieć możliwości zmiany ustawień tuneli VPN, jak np. osłabić szyfrowanie czy wpłynąć na to, jakie klucze szyfrowania zostaną użyte. Wymagania dotyczące zaufanych sieci VPN: a) tylko dostawca usługi (operator) może mieć wpływu na tworzenie, czy modyfikacje ścieżek w VPN. Rozwiązanie to opiera się na zaufaniu klienta do dostawcy, że ten zapewni i będzie kontrolował tunel VPN.

4 124 Mirosław Siergiejczyk b) dostawca usługi (operator) może zmieniać, dodawać czy usuwać dane na drodze, po której przebiega VPN. Zaufany VPN to nie tylko zbiór wytyczonych ścieżek, to także dane przesyłane przez te ścieżki. Zazwyczaj ta sama droga w sieci jest współdzielona pomiędzy wielu klientów operatora, dlatego też ścieżka, którą biegnie VPN musi być specyficzna dla niego i nikt poza zaufanym ISP nie może mieć wpływu na dane w niej płynące. c) routing i adresacja w zaufanym VPN musi być ustalona przed jego utworzeniem. Klient musi znać swoje oczekiwania oraz musi znać oczekiwania dostawcy usług, aby można było utworzyć plan utrzymania i zarządzania sieci. Wymagania dotyczące hybrydowych sieci VPN: a) granice adresacji między zaufanym VPN a bezpiecznym VPN muszą być jasno określone. W rozwiązaniu hybrydowym, bezpieczny VPN może być podsiecią zaufanego VPN, np. jeden dział w firmie może mieć swój bezpieczny VPN, który biegnie przez korporacyjny zaufany VPN. Dla każdej pary adresów IP w hybrydowym VPN, administrator musi być zdolny określić czy ruch pomiędzy nimi jest albo nie jest częścią bezpiecznego VPN [1]. 3. METODYKA PROJEKTOWANIA SIECI VPN Zabezpieczenia VPN działają zwykle na urządzeniach firewall zaporach sieciowych, jednak ich projektowanie można wykonać oddzielnie. Realizują one bowiem inne, dla siebie specyficzne założenia ochrony. Projektując zabezpieczenia VPN należy kolejno przechodzić przez następujące etapy: Ustalenie usług systemu informatycznego wymagających ochrony VPN. Oszacowanie znaczenia usług dostępnych poprzez VPN dla instytucji, określane zazwyczaj w odniesieniu do realizowanych bądź wspomaganych zadań biznesowych instytucji. Specyfikacja wymagań bezpieczeństwa, której wynik umożliwia dokonanie wyboru co do użycia odpowiedniej technologii zabezpieczeń (algorytmów szyfrowania, funkcji haszujących, metod uwierzytelniania i środków ochrony przed awariami). Ustalenie struktury i topologii sieci VPN. W schemacie sieci VPN należy przedstawić lokalizację urządzeń i klientów VPN oraz tunele site-site (w topologii kraty lub zcentralizowanej) i client-site. Specyfikacja zabezpieczeń dla każdego tunelu VPN. Powinna zawierać takie parametry, jak: metoda uwierzytelniania VPN, algorytmy szyfrowania i uwierzytelniania wiadomości, w przypadku tuneli IPSec także tryb fazy 1 IKE, grupę Diffiego-Hellmana, PFS i Replay Protection, NAT-T, czasy renegocjacji SA, Dead Peer Detection. Specyfikacja urządzeń/klientów VPN zawierająca parametry, które mogą być negocjowane. Dla tuneli IPSec są to m.in.: adresacja urządzenia/klienta VPN, domena VPN, wspierane metody uwierzytelniania i szyfrowania, wspierane grupy Diffiego- Hellmana, wspierane opcje ochrony, obsługa NAT-T [4]. Parametry, które pomogą w wyborze odpowiedniego sprzętu, jak i oprogramowania dla projektowanej sieci VPN to między innymi: parametry wydajnościowe, jak najwyższa ciągła przepustowość, parametry bezpieczeństwa, jak wspierane mechanizmy uwierzytelniania i szyfrowania,

5 Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi 125 maksymalna liczba jednoczesnych połączeń, integracja z istniejącą infrastrukturą sieciową, dostępność wsparcia technicznego i łatwa możliwość rozbudowy. 4. PRZYKŁAD WDROŻENIA SIECI VPN W PRZEDSIĘBIORSTWIE SPEDYCYJNYM 4.1.Charakterystyka firmy i celowość wdrożenia zabezpieczeń VPN Firma spedycyjna posiada jedną główną siedzibę oraz pięć oddziałów, w tym trzy poza granicami kraju. Współpracuje z wieloma firmami z branży transportowej i FMCG, zarówno w kraju, jak i za granicą. Oprócz korzystania z usług prywatnych przewoźników posiada również własną flotę samochodów ciężarowych, których kierowcy wyposażeni są w urządzenia PDA. Firma zatrudnia, także wielu mobilnych pracowników, którzy niezależnie od miejsca przebywania potrzebują mieć dostęp do zasobów sieciowym organizacji. W każdej lokalizacji jest eksploatowana lokalna sieć komputerowa. W siedzibie głównej sieć LAN 1. W lokalizacjach oddziałowych odpowiednio sieci LAN 2, LAN 3, LAN 4, LAN 5. LAN 6. Z każdej z tych sieci dostęp do sieci Internet świadczony jest poprzez łącza w technologii ADSL. Dla realizacji usług głosowych firma korzystała z telefonicznych linii cyfrowych ISDN BRA w oddziałach oraz ISDN PRA w siedzibie głównej, przyłączonych do central PABX. Poza dostępem HTTPS do serwera MS Exchange, firma nie korzysta z żadnego rozwiązania zdalnego dostępu oferującego bezpieczną wymianę informacji między oddziałami. Pracownicy poza dostępem do poczty nie mają możliwości uzyskania zdalnego dostępu do innych usług. Administratorzy używają oprogramowania zdalnego dostępu VNC do kontroli serwerów, co powoduje utworzenie poważnych luk w zabezpieczeniach sieci. Brak możliwości bezpiecznej komunikacji między oddziałami wymusza posiadanie serwera baz danych w każdym z oddziałów, co znacznie podnosi koszty inwestycyjne (CAPEX), jak i operacyjne (OPEX) firmy. Pracownicy odległych oddziałów firmy nie mają możliwości korzystania z serwera domeny NT w centrali firmy, co zmniejsza kontrolę nad dostępem pracowników do zasobów sieciowych oraz ich stacjami roboczymi. Brak zcentralizowanego zarządzania środowiskiem sieciowym powoduje zwiększenie potrzebnej ilości pracowników działu IT oraz większą podatność sieci komputerowej na zagrożenia płynące z sieci Internet. Ogranicza także, przyszły rozwój firmy, utworzenie nowego oddziału wiązać się będzie z dużymi kosztami inwestycyjnymi, m.in. na serwery usług. Biorąc pod uwagę aspekty funkcjonowania przedsiębiorstwa oraz przedstawioną wcześniej analizę protokołów VPN można wywnioskować, iż projektowana wirtualna sieć prywatna powinna być zbudowana w topologii zcentralizowanej w oparciu o tunele IPSec. Wybór technologii IPSec uzasadniony jest potrzebą zbudowania wielu połączeń site-to-site, poprzez które udostępniany będzie dostęp do wielu usług, co w przypadku wykorzystania protokołu SSL byłoby bardzo nieefektywne. Mobilni pracownicy, także potrzebują zdalnego dostępu do szerokiego zakresu usług sieciowych, co w przypadku IPSec można udostępnić za pomocą jednego tunelu, natomiast przy użyciu techniki SSL VPN, dla każdej aplikacji należałoby zestawiać oddzielny tunel. Polityka bezpieczeństwa firmy wymaga, by użytkownicy łączyli się do sieci VPN jedynie z firmowych, zarządzanych komputerów, co zmniejsza użyteczną funkcjonalność technologii SSL VPN.

6 126 Mirosław Siergiejczyk 4.2.Usługi wymagające zabezpieczeń VPN Praktycznie wszystkie usługi uruchomione w sieci wymagają zabezpieczeń VPN przy korzystaniu z nich w dostępie zdalnym. Najważniejsze usługi w sieci to: MS SQL Server baza danych zawierająca informacje o klientach i procesach biznesowych jest główną aplikacją wykorzystywaną przez pracowników firmy. Stanowi także element systemu CRM i ERP. Przechowywane tam dane są tajemnicą firmy i wymagają zapewnienia poufności podczas ich przesyłania pomiędzy oddziałami. MS Exchange Server dostęp do poczty elektronicznej w zdalnych oddziałach powinien odbywać się poprzez sieć VPN, ze względu na poufny charakter komunikacji między pracownikami. Active Directory i SMB usługi katalogowe i udostępnianie zasobów sieciowych, jako usługi do których powinny mieć dostęp tylko osoby uprawnione (pracownicy organizacji) powinny być chronione przez zabezpieczenia sieci VPN. Cała komunikacja sieciowa pomiędzy oddziałami, oprócz komunikacji do serwerów w strefie zdemilitaryzowanej (DMZ), powinna być chroniona przez zabezpieczenia VPN. 4.3.Przeznaczenie i funkcjonalność sieci FS VPN Sieć FS VPN (FS- firma spedycyjna) jest systemem teleinformatycznym umożliwiającym wzajemną komunikację i wymianę danych pomiędzy mobilnymi pracownikami i oddziałami firmy. Opiera się on na technologii koncepcji dynamicznych sieci VPN (DMVPN). Zapewnia bezpieczną wymianę informacji i umożliwia przesyłanie głosu poprzez wirtualne tunele zestawiane w technologii IPSec. Wirtualna sieć prywatna zbudowana jest w topologii zcentralizowanej (Hub & Spoke), gdzie wszystkie oddziały łączą się do jednego miejsca koncentratora, ale dzięki zastosowaniu dodatkowych tuneli GRE i uruchomionych w nich protokołach NHRP(ang. Next Hop Resolution Protocol - protokół pozwalający wyznaczyć najkrótszą trasę do urządzenia docelowego i EIGRP (protokół routingu dynamicznego) umożliwia także automatyczne tworzenie połączeń spoke-to-spoke do bezpośredniej komunikacji między oddziałami. Pozwala to odciążyć łącze i urządzenia sieciowe w centrali firmy. Przy doborze urządzeń brano pod uwagę założenia stworzone na podstawie wymaganych przez firmę funkcjonalności oraz wyliczoną potrzebną wydajność dla potrzeb świadczenie usług telefonii IP. Koncepcja rozwiązania VPN SPED przedstawiona jest na rysunku 1 zawierającym schemat ideowy rozwiązania. Przy wyliczaniu potrzebnej wydajności routerów i łączy WAN wzięto pod uwagę następujące założenia: 1. Ruch VoIP pomiędzy oddziałami powinien stanowić maksymalnie 33% całkowitego dostępnego pasma łącza WAN, a sygnalizacja telefonii IP 5%. Reszta pasma przeznaczona jest pozostałych typów ruchu, 2. Średnie natężenie ruchu telefonicznego w firmie to 0,2 Erlanga na użytkownika, 3. Połączenia wykonywane do sieci PSTN stanowią 60% całego ruchu, a połączenia między oddziałami 40%, 4. Jedna rozmowa VoIP zakodowana za pomocą kodera G.729 z prędkością 50 pakietów na minutę przy średniej wielkości pakietu równej 140 bajtów, przesyłana przez tunel IPSec GRE wymaga przepływności 56 kb/s w każdą stronę,

7 Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi Średnio 33% pasma łączy w oddziałach jest wykorzystywana do ruchu w kierunku centrali firmy. Źródło: opracowanie własne. Rys. 1. Schemat ideowy rozwiązania FS VPN Tabela 1 przedstawia wartości natężenia ruchu i przepływności, jakie wymagane są do prawidłowego funkcjonowania telefonii IP w przedsiębiorstwie. Do obliczeń wykorzystano typ B modelu Erlanga z założonym trzy-procentowym prawdopodobieństwem niepowodzenia zestawienia połączenia. Na podstawie wyliczonych danych określona została oczekiwana wydajność routerów. Tabela 1. Wymagania wydajnościowe urządzeń VPN dla świadczenia usług VoIP LAN Liczba użytk. BHT [Erl.] Wymagana liczba linii telefonicznych (3% pr-stwo blokady) Wymagana liczba linii telefonicznych (60% ruchu telefonicznego) Wymagana liczba kanałów telefonii IP (40% ruchu telefonicznego) Wymagana minimalna przepływność łącza dla telefonii IP [b/s] Przepływność minimalna wymagana dla całego ruchu w jedną stronę [b/s] LAN LAN , LAN LAN , LAN LAN BHT (ang. Busy Hour Traffic) natężenie ruchu telefonicznego podczas godziny o największym ruchu BHCA. Źródło: opracowanie własne Minimalna przepływność łącza internetowego w oddziale 2 powinna wynosić 497/497 kb/s, natomiast w oddziałach LAN 3, LAN 4, LAN 5 i LAN 6 663/663 kb/s. Ze względu na rolę koncentratora, jaką pełni sieć LAN 1, należy zapewnić dla tej sieci odpowiedni zapas

8 128 Mirosław Siergiejczyk przepustowości łącza internetowego, aby można było obsłużyć ruch ze wszystkich oddziałów. W jej wypadku minimalna przepływność została przedstawiona, jako 33% (założony stopień rozłożenia ruchu w oddziałach) sumy przepływności łączy oddziałów firmy i wynosi 1039/1039 kb/s. Wydajność routera w siedzibie głównej wyliczona została ze wzoru: W = ( ( UL 1 + DL UL n + DL n ) * 33% ) + z (2) gdzie: W wydajność routera, UL n przepływność łącza do sieci WAN z n-tego oddziału [Mb/s], DL n przepływność łącza z sieci WAN do n-tego oddziału [Mb/s], 33% założony stopień wykorzystania łączy w oddziałach do transmisji w kierunku centrali firmy, z oszacowany nadmiar wydajności na takie zadania routera, jak: routing vlan czy przełączanie pakietów w LAN (dla routera w centrali przyjęto wartość 6 Mb/s, a dla routerów w oddziałach 2 Mb/s). Wydajność routerów zlokalizowanych w oddziałach była wyliczona ze wzoru: W = UL n + DL n + z (3) Wyniki przedstawia tabela 2. Tabela 2. Minimalne wydajności routerów VPN Sieć Przepływność łącza WAN [Mb/s] Nadmiar (z) [Mb] Minimalna wydajność routera [Mb/s] LAN 1 1,13 6 8,03 LAN 2 0,49 2 2,97 LAN 3 0,65 2 3,29 LAN 4 0,65 2 3,29 LAN 5 0,65 2 3,29 LAN 6 0,65 2 3,29 Źródło: opracowanie własne Wymagana wydajność routera w sieci LAN1 przy włączonych usługach FW, VPN, VoIP, IP PBX, VLAN switching powinna wynosić minimum 8 Mb/s. Wydajność routerów w sieciach oddziałów firmy, przy uruchomionych usługach FW, VPN, VoIP, IP PBX, VLAN switching powinna wynosić około 3,3 Mb/s. Łączność pomiędzy oddziałami realizowana jest poprzez publiczną sieć Internet. Router pełniący rolę koncentratora musi posiadać statyczny adres IP na interfejsie do sieci Internet (interfejs WAN FE0/1), pozostałe routery mogą posiadać adresy dynamiczne. Architekturę logiczną systemu przestawiającą połączenia pomiędzy lokalizacjami firmy z wykorzystaniem sieci VPN zamieszczono na rysunku 2.

9 Możliwości wykorzystania wirtualnych sieci prywatnych w zarządzaniu firmami transportowymi 129 Źródło: opracowanie własne Rys. 2. Schemat połączeń VPN pomiędzy lokalizacjami firmy Wdrożenie w przedsiębiorstwie sieci VPN zapewni: Poufną komunikację pomiędzy oddziałami z wykorzystaniem publicznej sieci Internet, Ograniczenie ilości serwerów w oddziałach firmy, Bezpieczny dostęp do zasobów firmy zarówno dla pracowników stacjonarnych, jak i mobilnych, Większą kontrolę nad uprawnieniami użytkowników, dzięki uwierzytelnianiu RADIUS i możliwości logowaniu do domeny NT przez każdego użytkownika, Silne, bazujące na hasłach dynamicznych uwierzytelnianie użytkowników, Transmisję głosu i wideo przez tunele VPN (telefonia IP i wideokonferencje), co zmniejszy koszty utrzymania standardowych linii telefonicznych, Współpracę z istniejącymi urządzeniami sieciowymi i z urządzeniami PDA, Centralne i łatwe zarządzanie, wysoką skalowalność i zmniejszenie przyszłych kosztów inwestycyjnych (CAPEX) i operacyjnych (OPEX). 5. ZAKOŃCZENIE Zastosowanie sieci VPN jako skalowanego rozwiązania zdalnego dostępu przyczynia się do wzrostu produktywności, decentralizacji oraz uniezależnienia pracownika od miejsca pracy. Wdrożenie telepracy podnosi atrakcyjność pracodawcy i pozwala na pozyskanie specjalistów mniejszym kosztem. Również, w dobie ekspansji sieci ekstranetowych i intranetowych firmy muszą chronić prywatność informacji wymienianych między oddziałami, partnerami handlowymi i klientami, co zapewniają systemy kryptograficzne stosowane w sieciach VPN. Duża liczba specyfikacji rozwiązań dla sieci VPN daje projektantom sieci szerokie pole działania. Mogą wybierać z pośród technik tworzenia sieci VPN dostarczanych przez operatorów telekomunikacyjnych, a także jeżeli chcą być pewni, że ich tunel jest właściwie zabezpieczony, mogą wybrać jeden z typów bezpiecznych sieci VPN, które buduje się na własnych urządzeniach i mechanizmach bezpieczeństwa przez nie udostępnianych. Ten drugi typ jest najpowszechniej stosowany, głównie ze względu na niski koszt utrzymania,

10 130 Mirosław Siergiejczyk zawierający się głównie w cenie łącza internetowego. Do tego taka sieć VPN, poprzez znajomość mechanizmów bezpieczeństwa w niej zastosowanych, daje nam jasne pojęcie, jak dobrze są chronione nasze dane. Przedstawiona w przykładzie technika dynamicznego tworzenia tuneli VPN jest bardzo dobrym wyborem w przypadku przedsiębiorstw z dużą ilością oddziałów, a także, gdy wymagane jest przesyłanie pomiędzy sieciami protokołów innych niż IP oraz informacji protokołów trasujących. Dynamiczne wielopunktowe sieci VPN (DMVPN), jako iż zbudowane są w topologii zcentralizowanej, pozwalają na użycie dynamicznie przydzielanych adresów IP w zdalnych lokalizacjach, co w znacznym stopniu ogranicza koszty związane z utrzymaniem łącza do sieci WAN. Sieci DMVPN znacznie upraszczają i skracają konfigurację głównego urządzenia VPN (koncentratora), a dzięki tablicom NHRP i EIGRP o osiągalności sieci oddziałowych, pozwalają także zestawianie połączeń między różnymi oddziałami bez potrzeby dodatkowej konfiguracji urządzeń. Rozwiązanie FS VPN, dzięki zdolności do dynamicznego tworzenie tuneli VPN, posiada wymaganą przez zleceniodawcę elastyczność i skalowalność. Dzięki zastosowaniu dynamicznych tuneli, konfiguracja koncentratora VPN jest zminimalizowana i uproszczona. W rozwiązaniu można uruchomić m.in. usługi telefonii IP, PABX oraz wideokonferencji. Wykorzystanie sieci Internet do komunikacji między oddziałami pozwoli zredukować koszty utrzymania łączy WAN i linii telefonicznych. LITERATURA [1] Cole E., Krutz R., Conley J.W.: Network Security Bible, Wiley Publishing, Inc, Indianapolis 2005 [2] Nader J.C.: VPNs Illustrated: Tunnels, VPNs, and IPSec, Addison Wesley Professional [3] Siergiejczyk M., Gago S.: Wybrane zagadnienia realizacji wirtualnych sieci prywatnych w telekomunikacji kolejowej, Politechnika Warszawska Prace Naukowe Transport. Zeszyt 61. Oficyna Wydawnicza Politechniki Warszawskiej. Warszawa [4] Stawowski M.: Projektowanie i praktyczne implementacje sieci VPN, ArsKom, Warszawa [5] VPN Definition, [6] VPN Technologies: Definitions and Requirements VPN Consortium, THE POSSIBILITIES OF IMPLEMENTING VIRTUAL PRIVATE NETWORKS IN THE MANAGEMENT FORWARDING FIRMS Abstract A technology of Virtual Private Networks was shown in this thesis - fundamentals of their functionality and available techniques of creation. Some place was also spared for VPNs designing issues including methodology, security issues and their proper functioning. That knowledge was used to draw up a VPNs implementation project in a multi-branch forwarding company. Keywords: virtual private network, security, forwarding company Recenzenci: Jerzy Kwaśnikowski, Marek Grzybowski