UWARUNKOWANIA PROCESU WDRAśANIA WIRTUALNYCH SIECI PRYWATNYCH ANALIZA PRZYPADKU



Podobne dokumenty
Sieci VPN SSL czy IPSec?

System Kancelaris. Zdalny dostęp do danych

OFERTA NA SYSTEM LIVE STREAMING

1. Instalacja systemu Integra 7

Protokoły zdalnego logowania Telnet i SSH

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Opis. systemu. zliczania. obiektów. ruchomych. wersja. dla salonów. i sieci salonów.

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

Program dla praktyki lekarskiej. Instalacja programu dreryk

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs.

Zdalne logowanie do serwerów

Telefonia Internetowa VoIP

Wprowadzenie do zagadnień związanych z firewallingiem

Konfiguracja komputera przeznaczonego do pracy z IndustrialSQL Server 8.0 (komputer serwer)

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone. MASH.PL Wymagania i zalecenia dla usługi głosowej w Sieci FreePhone Strona 1

Sposoby zdalnego sterowania pulpitem

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

Działanie komputera i sieci komputerowej.

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

ZESPÓŁ SZKÓŁ NR 9. Projekt lokalnej sieci komputerowej zapewniającej dostęp do Internetu.

Opis systemu CitectFacilities. (nadrzędny system sterowania i kontroli procesu technologicznego)

Kabel USB 2.0 do połączenia komputerów PCLinq2 (PL-2501) podręcznik uŝytkownika

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

Dwa lub więcej komputerów połączonych ze sobą z określonymi zasadami komunikacji (protokołem komunikacyjnym).

Opis komunikacji na potrzeby integracji z systemem klienta (12 kwiecień, 2007)


Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

9.5 Rozliczanie zaopatrzenia w przedmioty ortopedyczne i środki pomocnicze

Instrukcja konfiguracji funkcji skanowania

Opis programu OpiekunNET. Historia... Architektura sieciowa

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Win Admin Monitor Instrukcja Obsługi

Internetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp

1. Instalacja jednostanowiskowa Instalacja sieciowa Instalacja w środowisku rozproszonym Dodatkowe zalecenia...

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

Procedura wdrożeniowa program MERKURY QUATTRO wer. 1.0

UNIFON podręcznik użytkownika

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

Podstawy obsługi aplikacji Generator Wniosków Płatniczych

THB Systemy Informatyczne Sp. z o.o. Wrocław. s p e c j a l i s t y c z n e s y s t e m y i n f o r m a t y c z n e. Szanowni Państwo!

OPIS i SPECYFIKACJA TECHNICZNA

Połączenie do Microsoft SQL Server z poziomu Comarch OPT!MA

Biuletyn techniczny. Połączenie do Microsoft SQL Server z poziomu CDN OPT!MA. Data powstania: Copyright 2007 COMARCH SA

Metody zabezpieczania transmisji w sieci Ethernet

SZCZEGÓŁOWE OKREŚLENIE System zarządzania urządzeniami sieciowymi

Software RAID funkcje dostarcza zaimplementowane oprogramowanie, bez wykorzystania z dedykowanych kontrolerów.

Podstawowe pojęcia dotyczące sieci komputerowych

Tworzenie połączeń VPN.

Wewnętrzny Pomiar Ryzyka* (WPR)

Win Admin Replikator Instrukcja Obsługi

TELEFONIA INTERNETOWA

ZAPYTANIE OFERTOWE. Ministerstwo Rolnictwa i Rozwoju Wsi (MRiRW) zwraca się z prośbą o złożenie oferty cenowej zgodnie z przedstawionymi wymogami:

7. zainstalowane oprogramowanie zarządzane stacje robocze

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja instalacji i obsługi programu Szpieg 3

WOJEWÓDZTWO PODKARPACKIE

Bramka IP 1 szybki start.

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

Wymagania systemowe Autor: Stefan Cacek

Instrukcja skrócona (dla informatyka)

BeamYourScreen Bezpieczeństwo

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Szczegółowy opis przedmiotu zamówienia:

Szpieg 2.0 Instrukcja użytkownika

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

11. Autoryzacja użytkowników

X-CONTROL -FUNKCJONALNOŚCI

Podstawy Techniki Komputerowej. Temat: BIOS

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Axence nvision Nowe możliwości w zarządzaniu sieciami

Urządzenie udostępniające sieć Wi-Fi z technologią 4G LTE

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.

12. Wirtualne sieci prywatne (VPN)

Audytowane obszary IT

Podstawowe informacje o obsłudze pliku z uprawnieniami licencja.txt

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

Kancelaria Prawna.WEB - POMOC

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Co to jest GASTRONOMIA?

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Usługi sieciowe systemu Linux

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

Transkrypt:

UWARUNKOWANIA PROCESU WDRAśANIA WIRTUALNYCH SIECI PRYWATNYCH ANALIZA PRZYPADKU Krzysztof Pfaff Przedstawienie technologii VPN Wirtualna sieć prywatna (Virtual Private Network VPN) jest prywatną (niepubliczną) siecią komputerową, która korzysta z publicznej (obcej) infrastruktury telekomunikacyjnej, a poufność informacji zapewniona jest poprzez uŝycie mechanizmów tunelowania i procedur bezpieczeństwa [VPNC04]. VPN uŝywają zaawansowanych metod uwierzytelniania i szyfrowania umoŝliwiających nawiązywanie bezpiecznych połączeń sieciowych poprzez sieci niezaleŝnych dostawców, takie jak Internet [PhSC03]. Technologia VPN moŝe zastąpić drogie łącza WAN lub połączenia komutowane RAS [Fran03]. Wykorzystanie łącz dzierŝawionych lub połączeń telefonicznych wiąŝe się z wysokimi kosztami lub ograniczeniami prędkości przesyłu, problemami ze skalowalnością i bezpieczeństwem przesyłanych danych [PhAG04]. Technologia VPN z tego względu, Ŝe wykorzystuje istniejące łącza Internetowe pozwala na zredukowanie kosztów połączeń w porównaniu do alternatywnych rozwiązań [PhSC03]. Łatwo teŝ uŝyć innego, awaryjnego sposobu transportu sygnału (np. zapasowe połączenie przez kilka linii telefonicznych). DuŜa dostępność łącz internetowych sprawia, Ŝe moŝna w stosunkowo krótkim czasie bezpiecznie podłączyć odległe sieci komputerowe zestawiając połączenia VPN. Cel projektu wykorzystującego technologię VPN Firma A i firma B są osobnymi podmiotami, ale powiązanymi kapitałowo. KaŜda z firm znajduje się w innej lokalizacji i posiada własną infrastrukturę informatyczną (serwery baz danych, serwery plików, sieci komputerowe, systemy informacyjne). PoniewaŜ współpraca między firmami stale się zacieśnia, rosną potrzeby wymiany informacji, np. podgląd wzajemnych stanów magazynowych, analiza danych sprzedaŝy, generowanie określonych raportów dla zarządu, itp. Rozwią- 514

REALIZACJA SYSTEMÓW WSPOMAGANIA ORGANIZACJI I ROZWIĄZANIA... zaniem jest wzajemne udostępnienie pewnego zakresu informacji zawartego w bazach danych firm. Obydwie firmy działają na tym samym systemie informatycznym wspomagania zarządzania i korzystają z tego samego systemu bazy danych, więc integracja systemów jest przez to łatwiejsza. Konieczne są jednak uzgodnienia organizacyjne jaki zakres danych ma być udostępniany i dla kogo. Nie obywa się to bez konfliktów naleŝy liczyć się z niechęcią firm do udostępniania swoich danych. Trzeba teŝ wziąć pod uwagę problemy prawne pewne informacje nie mogą być udostępniane innym podmiotom, np. dane osobowe, informacje o wynagrodzeniach poszczególnych pracowników, itp. Wymaga to nie tylko stworzenia warunków technologicznych, ale teŝ spełnienia odpowiednich wymagań prawnych, opracowania i podpisania umów między firmami. Sytuacja pod tym względem byłaby znacznie prostsza w przypadku jednej firmy wymieniającej dane ze swoimi oddziałami. Po ustaleniu szczegółów organizacyjnych zdecydowano, Ŝe firma A i firma B będą miały ograniczony wzajemny wgląd do swoich baz danych. Pracownicy firmy A będą mieli stały podgląd do stanów magazynowych firmy B (dane te znajdują się na serwerze bazy danych w lokalizacji B) oraz pracownicy firmy B będą mogli sprawdzać stany magazynowe firmy A łącząc się z serwerem bazy danych firmy A. Dodatkowo określone osoby z lokalizacji A będą miały zdefiniowany dostęp do danych serwera bazy danych B w celu sporządzania róŝnych raportów i analiz. Standardowo aplikacja uŝytkownika końcowego systemu informacyjnego wykorzystywanego w firmie łączy się z serwerem bazy danych znajdującym się w sieci lokalnej. PoniewaŜ w obydwu firmach wykorzystywana jest taka sama aplikacja pracująca na takiej samej bazie danych, to moŝna w łatwy sposób sprawić, by aplikacja zamiast łączyć się ze swoim macierzystym serwerem bazy danych, nawiązała połączenie z serwerem innej firmy. Dzięki temu w łatwy sposób moŝna doprowadzić do sytuacji, Ŝe uŝytkownik przegląda dane innej firmy uŝywając zainstalowanej juŝ na jego komputerze, znanej mu aplikacji. Niezbędnym warunkiem aby to osiągnąć jest moŝliwość stałej, wydajnej transmisji danych między firmami w warstwie IP w bezpieczny sposób, np. poprzez dedykowane łącza transmisji danych i/lub poprzez uŝycie tunelu VPN. PoniewaŜ zarówno firma A jak i firma B mają dostęp do Internetu, najszybszym do zrealizowania i najbardziej ekonomicznym rozwiązaniem jest utworzenie między siedzibami połączenia VPN poprzez Internet. Po utworzeniu tunelu VPN zostanie przeprowadzony test działania połączenia, a następnie stopniowe udostępnianie kolejnym komputerom sieci lokalnej dostępu do łącza VPN i zwiększanie ilości wymienianych danych. Pozwoli to przetestować wydajność połączenia i umoŝliwi określenie limitu wydajności dla łącza VPN zestawionego przez Internet między tymi konkretnymi lokalizacjami. 515

ROZDZIAŁ V Faktyczne wdroŝenie technologii VPN PoniŜej znajduje się opis uruchomienia testowej instalacji i weryfikacja skuteczności działania połączenia VPN. Pierwszym krokiem jest wybór rozwiązania VPN, które będzie zastosowane. Na początek (jako pierwszy do testowania) wybrano system phion netfence (nazwa pisana z małej litery) austriackiej firmy phion Information Technologies GmbH. Rozwiązanie to oparte jest na systemie Linux, zawiera m. in. zintegrowany serwer VPN i firewall. System ten mógł być wdroŝony w krótkim czasie ze względu na jego znajomość przez personel firmy i cechy samego systemu pozwalające na szybką implementację. Kolejnym krokiem jest wybór odpowiedniej konfiguracji sprzętowej komputera, który będzie działał jako serwer VPN. Aby wydajność komputera nie ograniczała wydajności systemu VPN i przepustowości łącza naleŝy wyposaŝyć komputer w duŝą ilość pamięci, co pozwoli obsłuŝyć duŝą ilość połączeń oraz w wydajny procesor w celu przetworzenia duŝych ilości szyfrowanych danych. Przydatne mogą być dwa (lub więcej) osobne napędy dysków, gdyŝ moŝe to korzystnie wpłynąć na wydajność systemu, np. w sytuacji, gdy na jednym dysku znajdują się pliki systemowe i programy, a drugi napęd przeznaczony jest na zbieranie zapisów dziennika, statystyk itp. JeŜeli docelowo wykorzystany byłby konkretny system VPN najlepiej zastosować zalecenia producenta i uwzględnić listę kompatybilnego sprzętu (Hardware Compatibility List HCL). W przypadku, gdy nie jest pewne, jaki system VPN dostanie wykorzystany docelowo, nale- Ŝy zastosować jak najbardziej uniwersalną maszynę. Architektura typu IBM PC jest bardzo rozpowszechniona, niedroga i pozwala na uruchomienie wielu róŝnych systemów operacyjnych. UŜycie standardowych, popularnych kontrolerów i kart rozszerzeń, dostępnych na rynku od dłuŝszego czasu, pozwoli uniknąć problemów ze sterownikami sprzętowymi. Zgodnie z tymi wytycznymi wybrano 2 komputery (po jednym dla kaŝdej z lokalizacji) w architekturze PC z Procesorem Pentium IV 3.2 GHz, 512MB pamięci RAM, dwoma dyskami 80GB IDE ATA i popularnymi kartami sieciowymi typu Intel 100 Pro. Taki komputer zapewnia dobrą wydajność sprzętową, jest zgodny z zaleceniami systemu phion netfence, a równocześnie (poniewaŝ jest to testowa instalacja i w przyszłości będą testowane inne rozwiązania VPN) będzie poprawnie pracować z róŝnymi systemami typu UNIX, Linux, Windows. Na obydwu komputerach został zainstalowany system phion netfence. Pierwszy komputer (nazywany dalej serwerem VPN A) został skonfigurowany zgodnie z topologią sieci LAN lokalizacji A. W tej sieci będzie on obsługiwał zakończenie tunelu VPN, a takŝe filtrował ruch wychodzący do i przychodzący z tunelu. Podobnie będzie działał drugi komputer w lokalizacji B (dalej nazywany serwerem VPN B) umoŝliwiając sieci lokalnej firmy B wymianę informacji 516

REALIZACJA SYSTEMÓW WSPOMAGANIA ORGANIZACJI I ROZWIĄZANIA... przez tunel VPN. Serwer VPN B został przygotowany i przetestowany w lokalizacji A. Dokonano instalacji, konfiguracji ustawień, weryfikacji połączenia VPN i reguł filtrowania. Gdy wszystko działało poprawnie, serwer VPN B został wysłany do lokalizacji B i tam uruchomiony. 1 Nawiązał on poprawnie komunikację z lokalizacją A. Tunel VPN został utworzony między firmą A i firmą B z wykorzystaniem Internetu jako środka transportu zaszyfrowanych danych (Rys. 1). LAN A LAN B Serwer VPN A Router Internet Router t u n e l V P N A B Serwer VPN B Baza Danych A Rys. 1. Połączenie lokalizacji A i lokalizacji B poprzez tunel VPN Źródło: Opracowanie własne Baza Danych B Wszystkie dane (łącznie z nagłówkami IP i nagłówkami TCP/UDP) przesyłane przez tunel VPN są przez serwer VPN szyfrowane, opakowywane i wysyłane w nowych pakietach z uŝyciem protokołu TCP lub UDP do drugiego serwera VPN gdzie ulegają rozszyfrowaniu. W tym przypadku tunel nie jest oparty na protokole IPSec, ale wykorzystuje on protokoły TCP lub UDP. Pozwala to na łatwiejsze wdroŝenie systemu, gdy np. uruchomienie połączenia VPN nie powinno ingerować w aktualną topologię sieci i serwery VPN umieszczone są za brzegowym firewallem czy nie mają publicznego adresu IP. Protokoły TCP i UDP uŝywane w tej konfiguracji do przesyłania zaszyfrowanego ruchu wykazują inne parametry działania. Zastosowanie protokołu UDP zapewnia większą szybkość i krótszy czas reakcji na stabilnych łączach. Jednak przy uruchomieniu tunelu VPN na łączach o mniejszej stabilności, z większą ilością zakłóceń (często połączenie przez Internet ma właśnie taką charakterystykę) występuje zgubienie części pakietów i w rezultacie wolniejsze działanie tunelu VPN. Wykorzystanie protokołu TCP do enkapsulacji zaszyfrowanych danych, choć teoretycznie wolniejsze, w takiej sytuacji daje lepsze rezultaty i zapewnia większą stabilność połączeń przechodzących przez tunel VPN. 1 Uwaga: naleŝy zadbać o to, by wysyłany komputer był odpowiednio zabezpieczony i aby nikt niepowołany nie mógł uzyskać dostępu np. do przechowywanych w komputerze kluczy prywatnych oraz poznać szczegóły konfiguracji i wykorzystać je do przechwycenia danych juŝ po uruchomieniu tunelu. 517

ROZDZIAŁ V Po połączeniu serwera VPN A i serwera VPN B czyli utworzeniu tunelu VPN moŝliwa stała się dwukierunkowa komunikacja między sieciami komputerowymi lokalizacji A i B, przy czym dokonywane jest filtrowanie zezwalające tylko na takie połączenia, które są potrzebne i które zostały uzgodnione wcześniej na mocy porozumienia między firmami A i B. Jeśli zajdzie taka potrzeba, w kaŝdej chwili moŝna dokonać zmiany konfiguracji w obydwu punktach, aby zezwolić na nowy rodzaj połączeń. Przy odpowiednio zdefiniowanej konfiguracji jeden administrator moŝe zarządzać serwerami VPN z jednego miejsca, łącząc się z odległym serwerem VPN i administrując nim poprzez ustanowiony tunel VPN. Testowanie działania VPN Tunel VPN został stworzony z myślą o wykorzystaniu aplikacji pozwalającej na przeglądanie stanów magazynowych, generowanie róŝnych raportów, zestawień, analiz, itp. Aplikacja uŝytkownika łączy się z serwerem bazy danych i pracuje na przechowywanych tam danych. Dzięki połączeniu VPN osoba z lokalizacji A moŝe łączyć się z bazą danych w lokalizacji B i przeglądać oraz zmieniać znajdujące się tam dane (jeśli ma nadane odpowiednie uprawnienia). Po utworzeniu tunelu VPN uruchomiono aplikację uŝytkownika w lokalizacji A i nawiązano komunikację z odległym serwerem bazy danych w lokalizacji B. MoŜliwa stała się praca na danych z drugiej firmy, choć nastąpiło wyraźne zmniejszenie prędkości działania. Przy pracy na większej ilości danych (generowanie duŝego raportu, przeglądanie wielu rekordów bazy) korzystanie z aplikacji jest dosyć uciąŝliwe. Połączenie przez Internet między tymi konkretnymi lokalizacjami nie ma najlepszych parametrów i jest niestabilne. Komunikacja klient-serwer wykazuje prędkość transferu średnio od 40 do 200 (czasem do 300) kbit/s. Opóźnienia (dla niewielkich pakietów ICMP echo) mają zmienną wartość, zazwyczaj między 100 a 600 ms. Program sprawdzający czas odpowiedzi z serwera bazy danych wyświetla wartości rzędu 300-900ms (podczas gdy w sieci LAN wynoszą one średnio między 10-30ms). Niestety, czasem następuje dłuŝsza przerwa w transmisji i aplikacje mniej odporne na błędy komunikacji sieciowej pracują niepoprawnie. Prędkość transferu spada np. do 5000 bit/s (lub mniej) albo transfer zostaje zatrzymany, opóźnienia wynoszą kilka sekund lub więcej, pojawiają się błędy przedawnienia (timeout errors) dla połączeń. W takich sytuacjach aplikacja komunikująca się z bazą danych czasem blokuje się i wymagane jest jej awaryjne zamknięcie, co skutkuje utratą niezapisanych danych i koniecznością ponownego uruchomienia aplikacji i logowania się do bazy. Z tego względu korzystanie z łącza VPN w ten sposób jest dosyć uciąŝliwe, a przy większej liczbie uŝytkowników prawie niemoŝliwe. 518

REALIZACJA SYSTEMÓW WSPOMAGANIA ORGANIZACJI I ROZWIĄZANIA... W celu usprawnienia pracy zdecydowano się wykorzystać inne rozwiązania, bardziej odporne na przerwy w transmisji. Stany magazynowe jednej firmy mają być dostępne dla pracowników drugiej firmy. Przy czym potrzebny jest tylko podgląd stanów magazynowych, nie są dokonywane Ŝadne modyfikacje. Gdyby kaŝdy uŝytkownik pobierał dane z odległego serwera przez tunel VPN, spowodowałoby to duŝy ruch. Dlatego stany magazynowe są eksportowane lokalnie z bazy danych do pliku tekstowego, następnie plik jest kompresowany i przesyłany do odległej lokalizacji przez tunel VPN. Tam jest dekompresowany i umieszczany na serwerze plikowym. KaŜda osoba, która ma mieć dostęp do stanów magazynowych drugiej firmy korzysta z aplikacji, która (juŝ lokalnie) importuje dane z pliku tekstowego. Operacja powtarzana jest automatycznie co 10-15 minut, gdyŝ uznano, Ŝe taki czas jest wystarczający. Dzięki temu aktualne dane są przesyłane przez tunel VPN raz na kilkanaście minut, a nie wielokrotnie dla kaŝdego uŝytkownika korzystającego z dostępu do stanów magazynowych. Transfer pliku jest bardziej odporny na błędy komunikacji niŝ połączenie klient-serwer bazy danych. Dodatkowo kompresja zmniejsza ilość przesyłanych informacji. Aby umoŝliwić pracownikom z lokalizacji A generowanie raportów i przeprowadzanie analiz na danych z lokalizacji B, zdecydowano się na wykorzystanie klienta terminalowego łączącego się poprzez tunel VPN. PoniewaŜ aplikacja uŝytkownika działa na systemie Windows, wykorzystano standardową usługę klienta terminalowego zaimplementowaną w systemie Windows XP (zwaną zdalny pulpit ), co pozwoli na zdalną pracę jednego uŝytkownika w danym czasie. Wybrany komputer z sieci A moŝe połączyć się i zalogować na dedykowanym komputerze w lokalizacji B i korzystać z zainstalowanej na nim aplikacji uŝytkownika połączonej z serwerem bazy danych B. Takie rozwiązanie ma mniejsze wymagania odnośnie pasma. DuŜe ilości danych są przetwarzane lokalnie w odległej sieci B, przesyłane są tylko wyniki widoczne na ekranie. W przypadku nagłych przerw w transmisji VPN po przywróceniu komunikacji moŝliwy jest powrót do zdalnego systemu i kontynuowanie pracy od przerwanego momentu. Utrudnienia (ze względu na wydajność łącza) mogą wystąpić przy transferze większej ilości danych ze zdalnego komputera do komputera lokalnego, np. zapisanie duŝego raportu na lokalny dysk komputera w lokalizacji A, ale nie uniemoŝliwia to pracy. Minusem rozwiązania moŝe być konieczność przeznaczenia dedykowanego komputera do obsługi zdalnego dostępu lub koszt umieszczonego w odległej lokalizacji serwera terminalowego i licencji terminalowych. 519

ROZDZIAŁ V Ocena działania wdroŝonego VPN Wykorzystanie VPN pozwoliło na spełnienie załoŝonych celów. Pracownicy obydwu firm mogą wzajemnie oglądać stany magazynowe partnerskiej firmy. UŜytkownik z jednej lokalizacji moŝe przeglądać i przetwarzać dane znajdujące się w bazie danych drugiej firmy. Wprawdzie konieczne były działania minimalizujące negatywny wpływ niŝszej wydajności połączenia internetowego między lokalizacjami, jednak nie wynikało to z zastosowania technologii VPN, tylko ze słabej jakości połączenia internetowego między lokalizacjami A i B. Połączenie realizowane między innymi lokalizacjami moŝe wykazywać całkiem poprawne parametry pracy. Nale- Ŝy teŝ uwzględnić fakt, Ŝe wraz z upływem czasu i rozwojem sieci Internet jakość łączy internetowych ulega poprawie, co korzystnie wpływa na moŝliwość rozpowszechnienia się technologii VPN. Aby w lepszym stopniu wykorzystać zalety technologii VPN, gdy problemem jest wydajność istniejącego łącza, moŝna w obydwu lokalizacjach zamówić usługę dostępu do Internetu u jednego operatora, który gwarantuje klientowi dobre parametry (duŝa przepustowość, niewielkie opóźnienia) między lokalizacjami w swojej sieci. Usługa taka jest aktualnie dostępna w większych miastach Polski, niestety w mniejszych miejscowościach uzyskanie takich parametrów moŝe nie być moŝliwe lub wiązać się z dosyć wysokimi kosztami. Innym rozwiązaniem moŝe być zestawienie dedykowanego łącza transmisji danych między lokalizacjami (przykładowo FrameRelay, MPLS) jako medium transportowego dla tunelu VPN. Takie rozwiązanie, choć wiąŝe się z wyŝszymi kosztami utrzymania, zapewnia stabilne połączenie a równocześnie bardzo duŝe bezpieczeństwo transmisji. Zastosowanie technologii VPN sprawia, Ŝe nikt niepowołany, nawet dostawca łącza transmisji danych nie będzie miał moŝliwości podglądu lub ingerencji w przesyłane dane (dokładniejsze omówienie tego zagadnienia znajduje się w [Pfaff05]). Zaletą technologii VPN jest moŝliwość szybkiego wdroŝenia i przeniesienia łącza do innej lokalizacji. Posiadający odpowiednie doświadczenie administrator moŝe połączyć odległe lokalizacje za pomocą tunelu VPN nawet w ciągu jednego dnia, jeśli w danych miejscach znajdują się łącza internetowe, odpowiedni sprzęt (często wystarczy zwykły komputer PC z odpowiednimi kartami sieciowymi) i osoba potrafiąca obsłuŝyć komputer. Od strony ekonomicznej, porównując VPN jako alternatywę dla dedykowanych łącz transmisji danych, rozwiązanie VPN wiąŝe się często z jednorazowym większym kosztem zakupu urządzeń i oprogramowania VPN, natomiast jest tańsze w utrzymaniu. Zwrot inwestycji powinien nastąpić po upływie kilku/kilkunastu miesięcy. Jeszcze niŝsze koszty (choć moŝe to wymagać większych nakładów pracy) moŝna uzyskać stosując oprogramowanie typu Open Source do uruchomieniu tunelu VPN i filtrowania połączeń. 520

REALIZACJA SYSTEMÓW WSPOMAGANIA ORGANIZACJI I ROZWIĄZANIA... Podsumowując, VPN to skuteczne, niedrogie w utrzymaniu rozwiązanie, które moŝe być łatwo i szybko wdroŝone. Odległe lokalizacje mogą być połączone ze sobą z wykorzystaniem łącz Internetowych (lub innych), a dane na trasie między serwerami VPN są zaszyfrowane i zabezpieczone przed podsłuchem i ingerencją. Literatura [VPNC04] VPN Technologies - Definitions and Requirements. VPN Consortium, July 2004. źródło: http://www.vpnc.org/vpn-technologies.html [Fran03] Frankowski E.: Tani i rozległy. PC Kurier, nr 5, 2003 [PhSC03] phion Security Client. phion press, 2003. [PhAG04] phion netfence 2.4.1 - Administration Guidance (rev 1.1). phion press, 2004. [Pfaff05] Pfaff K.: VPN Wirtualne Sieci Prywatne, Infrastruktura informatyczna wirtualnej organizacji. W: Komputerowo Zintegrowane Zarządzanie. Praca zbiorowa pod red. R. Knosali, WNT, W- wa 2005 521

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres