93

VIRTUELNE PRIVATNE MREŽE

Prevod sa engleskog: dr Radomir Janković

2

• Osnovne informacije o virtuelnim privatnim mrežama (VPN) • Primer kako razviti VPN server uz Web server i server za elektronsku poštu na istom računaru • Primer kako daljinski pristupiti intranet informacijama preko virtuelne privatne mreže • Pitanja privatnosti u mobilnim komunikacijama podataka

Osnovne informacije o virtuelnim privatnim mrežama (VPN) Virtuelne privatne mreže (Virtual Private Networks - VPN) nude sposobnost da se obavljaju privatne komunikacije preko javne mreže kao što je Internet. Termin se odnosi na kombinaciju tehnologija i tehnika koje osiguravaju komunikacije između dve krajnje tačke uspostavljanjem tunela neprobojnog za prisluškivanje i ometanje.

• Daljinski pristup upotrebom Internet veze koja već postoji • Dva tipa virtuelnih privatnih mreža • Raspoloživost virtuelnih privatnih mreža* • Pitanja privatnosti u mobilnim komunikacijama podataka •

Sledeće informacije imaju svrhu da budu referenca za proizvode i usluge koje se odnose na mobilno PC računarstvo preko PCS mreža. Ni Intel ni Mobile Data Initiative ne garantuju za proizvode ili kompanije koje se spominju dalje u tekstu. Ove informacije pomenute kompanije dale su jedino u svrhu upoznavanja. Ne daje se nikakva garancija u pogledu njihove tačnosti.

3

Daljinski pristup upotrebom Internet veze koja već postoji Kupovina i održavanje modema za podršku udaljenim zaposlenima postaje glavni trošak preduzeća. Pored toga, mnoge od tih veza su iz udaljenih zona. Kako su mnoga od tih istih preduzeća već povezana na Internet, deluje privlačno omogućiti zaposlenima da preko Internet veza pristupaju resursima preduzeća. Umesto da biraju telefonski broj preduzeća, bolje je da zaposleni biraju broj svog lokalnog posrednika za Internet usluge i zatim preko Interneta stignu do mreže preduzeća. Kako mnogi veći posrednici za Internet usluge imaju priključni čvor u velikom broju gradova, zaposleni samo treba da naprave lokalni poziv, gotovo odsvakle. Ovaj pristup može da se primeni čak i kada su zaposleni na putu ili kada rade u inostranstvu. Za međunarodne pristupe, upotreba Interneta može da obezbedi daleko pouzdanije veze od međunarodnih poziva preko modema. Upotreba Interneta za daljinski pristup eliminiše kako troškove za održavanje modema, tako i troškove veza iz udaljenih zona. Ali, ona ističe i pitanja bezbednosti i performansi. Pored toga, ona zahteva od preduzeća dodatnu opremu i softver, a možda i veći propusni opseg ka Internetu. Srećom, ove opcije se veoma brzo razvijaju. Takođe, počinju da se stabilizuju standardi za pouzdan zajednički rad proizvoda različitih proizvođača.

Dva tipa virtuelnih privatnih mreža Ključna tehnološka oblast koja se odnosi na daljinski pristup preko Interneta zove se virtuelno privatno umrežavanje (Virtual Private Networking -VPN). Virtuelne privatne mreže se koriste na dva načina. U prvom slučaju, tunel kroz Internet je između dve privatne mreže, na primer uprava preduzeća sa jedne strane i udaljena kancelarija sa druge. U tom slučaju, upravljanje tunelom na obe strane izvodi se pomoću namenskog VPN servera ili pomoću postojeće Internet mrežne barijere. U stvari, o funkcionalnosti VPN može se misliti kao o poboljšanoj funkciji mrežne barijere. Ovaj tip virtuelne privatne mreže zove se ekstranet. Drugi način korišćenja virtuelnih privatnih mreža jeste povezivanje individualnog prenosnog računara (radne stanice) preko Interneta na privatnu mrežu. U ovom slučaju, funkcija VPN je implementirana kao softver unutar prenosnog računara. Ovaj računar može da koristi lokalni poziv da pristupi Internetu i stigne do privatne mreže. Na narednoj slici prikazana su dva

4 različita tipa virtuelnih privatnih mreža. Postoji takođe i varijacija ovog poslednjeg pristupa, u kojoj individualna radna stanica formira vezu sa posredničkim sistemom, na primer sa dobavljačem usluga Interneta, koji onda upravlja stvaranjem tunela u korist radne stanice.

U VPN vezi, može da se pojavi sledeći niz događaja: 1. Dva krajnja korisnika najpre se međusobno autorizuju. 2. VPN server može da odredi kojim uslugama radna stanica ima dozvolu da pristupi i može u saglasnosti sa tim da upravlja saobraćajem koji sledi. Ovaj korak se zove autorizacija. 3. Jednom kada je tunel stvoren, njegove krajnje tačke dodaju posebna zaglavlja paketima koji su adresirani za suprotnu stranu tunela, šifruju originalni paket i zaglavlje i enkapsuliraju sve te informacije u nove IP pakete. Interna zaglavlja obezbeđuju informacije o autorizaciji na nivou paketa i obezbeđuju da se otkrije svako falsifikovanje podataka.

Siguran tunel virtuelne privatne mreže

Opcije veze Kada se na put nosi prenosni računar postoji nekoliko načina kako možete da iskoristite prednosti VPN tehnologije da bi ste ostvarili vezu sa svojom mrežom kod kuće:

5

Modemska veza sa lokalnim posrednikom Internet usluga. Možete da upotrebite svoju PC modemsku karticu da ostvarite veze tradicionalnim zemaljskim linijama do lokalnog posrednika za Internet usluge, uspostavite PPP sesiju i zatim nastavite sa uspostavljanjem VPN veze preko Interneta. Celularna komutirana veza sa lokalnim posrednikom Internet usluga. Ovaj pristup je gotovo isti kao kada se koristi veza preko zemaljskih linija, izuzev što je ostvarena preko analogne veze ili veze komutirane pomoću kola. Celularna komutirana veza direktno na Internet. Povezujete se na Internet preko direktne digitalne veze, a ne preko modemskog pristupa. Ovakve usluge tek predstoje.

Raspoloživost virtuelnih privatnih mreža VPN tehnologija je danas raspoloživa ne samo preko kompanija koje su specijalizovane za virtuelne privatne mreže, nego i preko proizvođača operativnih sistema (na primer, Microsoft), tradicionalnih prodavaca mrežnih barijera, a u budućnosti možda čak preko prodavaca usmerivača. Danas postoji ograničena funkcionalna usklađenost između proizvoda različitih prodavaca, jer su standardi tek nedavno zaokruženi. Zato će vam najverovatnije biti potreban softver istog proizvođača na obe strane vaših tunela. Glavni standardi na koje treba obratiti pažnju jesu Ipsec (bezbedni IP), SOCKS i Protokol za tunele 2. sloja (Layer 2 Tunneling Protocol - L2TP). L2TP je novi standard koji će kombinovati atribute Microsoftovog Protokola za tunele tačka-na-tačku (Point to Point Tunneling Protocol - PPTP) i Ciscovog usmeravanja 2. sloja (layer 2 forwarding - L2F). Očekuje se da će bežični nosioci obezbediti više opcija za povezivanje na Internet. Ove opcije radiće ruku pod ruku sa VPN tehnologijama u cilju olakšavanja daljinskog pristupa privatnim mrežama gotovo svugde u svetu. Svako ko putuje noseći prenosni računar i mobilni telefon, uvideće da je lakše ako se ostane u vezi sa svojom organizacijom kod kuće. Evo nekih kompanija koje nude VPN proizvode:

6 •

Altavista Tunnel

•

TimeStep

•

Aventail

•

V-One

7

Primer kako se razvija VPN server uz Web server i server za elektronsku poštu na istom računaru Napisao: Sultan Weatherspoon, Intel Corporation

• Uvod • Postavljanje virtuelne privatne mreže • Postavljanje Web servera • Postavljanje Microsoftovog Exchange servera Uvod Ovaj članak predstavlja primer kako da se razvije server za virtuelno privatno umrežavanje (VPN) zajedno sa web serverom i serverom elektronske pošte na istoj mašini, koristeći postojeću infrastrukturu preduzeća. Ovo će pomoći službeniku da daljinski pristupa intranetu svog preduzeća, uz zaštitu od prisluškivanja duž celog puta. U ovom članku se pretpostavlja da preduzeće ima aktivnu vezu sa Internetom i da je njihov intranet povezan na Internet. Server koji je opisan nije proksi server. Ovaj server biće korišćen samo kao VPN server, Internet/intranet web server i server za elektronsku poštu. Serveri za elektronsku poštu i web uključeni su da bi upotpunili sliku jednog "sve-u-jednom" servera koji se lako instalira. Članak je namenjen poslovnim ljudima koji žele da razviju rešenje daljinskog pristupa preko virtuelnih privatnih mreža za svoje zaposlene. Glavni razlog zašto bi preduzeće želelo to da uradi jeste produktivnost, jer će zaposleni imati mogućnost daljinskog pristupa resursima preduzeća. Dodatni razlozi su smanjenje troškova administracije i troškova hardvera (eliminacijom modema i višestrukih biranja po linijama). Za dodatne informacije o prednostima VPN tehnologije, kao i o pitanjima bezbednosti, pogledajte http://www.posdata/virtual.htm. Za dodatne informacije o Microsoftu i protokolu PPTP pogledajte http://www.microsoft.com/communications/.

8

Postavljanje virtuelne privatne mreže Upotrebljeni softver •

Microsoft Windows NT server 4.0 (uključuje protokol PPTP i server daljinskog pristupa - (Remote Access Server - RAS))

•

Microsoft Exchange Server 5.5

Upotrebljeni hardver

•

Računar koji ima mikroprocesor Intel® Pentijum® II

•

2 korisnička mrežna adaptera Intel® EtherExpress Pro10/100

Upotrebljena Internet veza

• Postojeća veza velike brzine za Internet sa minimalnim propusnim opsegom od 1 Mbajta u sekundi

Upotrebljena intranet veza

• Normalna veza na lokalnu mrežu računara Instalacija 1.

Instalirajte Microsoft Windows NT Server po intranet specifikacijama (domen, IP adresa …)

2.

Da bi instalirali PPTP protokol izaberite mišem Start>Settings>Control Panel. Dva puta pritisnite mišem na ikonu Network. Izaberite Protocols. Izaberite dugme Add. Postavite se na Point to Point Tunneling Protocol. Pritisnite OK.

9

3.

Odaberite stavku Point to Point Tunneling Protocol. Pritisnite dugme Properties. Postavite maksimalan broj korisnika koji će biti povezani kroz virtuelnu privatnu mrežu. Primer koji sledi pokazuje 20. Pritisnite OK.

4.

Svaka od dve Intel® EtherExpress Pro10/100 mrežne kartice imaće posebnu IP adresu. Jedna će biti povezana na intranet, sa svojom intranet adresom, a druga će biti povezana na Internet, sa svojom Internet IP adresom. Na kartici Protocols odaberite stavku TCP/IP Protocol. Pritisnite dugme Properties. Slika koja sledi je primer. Pritisnite OK.

10

5.

Da instalirate Remote Access Service (RAS) pritisnite jezičak Services. Pritisnite dugme Add. Pomerajte se do stavke Remote Access Service. Pritisnite OK.

6.

Da dodate RAS VPN uređaje, izaberite Remote Access Service. Pritisnite dugme Properties. Pritisnite dugme Add. Pritisnite OK da dodate VPN-1RASPPTM. Nastavite da ponavljate ovaj proces dok ne dodate sve VPN uređaje.

11

7.

Da biste konfigurisali RAS da koristi protokol TCP/IP pritisnite dugme Network. Potvrdite samo polje TCP/IP pod "Allow remote clients running:" (dozvoljava se rad udaljenim korisnicima). Pod "Encryption settings:" potvrdite "Require Microsoft encrypted authentification" (traži se autorizacija Microsoftovom šifrom). Pritisnite Configure.

8.

Izaberite opseg IP adresa rezervisan za korisnike tunela. Ovaj opseg adresa biće upotrebljen SAMO za zaposlene koji koriste virtuelnu privatnu mrežu. Sledi primer intranet

12 IP adresa. Preporučujemo da se ne koristi DHCP (protokol za dinamičko konfigurisanje glavnog računara). Pritisnite OK. Pritisnite OK. Pritisnite Continue.

9.

Završili ste sa postavljanjem mreže. Pritisnite OK. Računar će tražiti da ponovo pokrenete sistem. Pritisnite OK na taj zahtev.

10.

Da promenite prava korisnika koja mu dozvoljavaju da se umrežava preko komutirane veze, izaberite mišem Start>Programs>Administrative Tools (Common)->User Manager for Domains. Dva puta pritisnite na korisnika kome želite da odobrite mogućnost biranja. Pritisnite dugme Dialin. Potvrdite "Grant dialin permission to user". Korisnik sada ima dozvolu da prolazi "tunelom" kroz ovaj VPN server.

13

Sada ste instalirali server virtuelne privatne mreže i web server na ovoj mašini, koristeći svoju postojeću infrastrukturu. Svi zaposleni kojima je dodeljena privilegija daljinskog pristupa i koji imaju VPN klijent postavljen na svom sistemu mogu sada da pristupaju informacijama kao da sede za svojim radnim stolovima u kancelarijama.

Postavljanje Web servera 1.

Web server je aplikacija koja se daleko najlakše postavlja. Instalirajte Microsoft Internet Information Server (IIS). Kada se IIS instalira, on će tražiti da se instalira web server. Odgovorite sa Yes na ovaj zahtev. IIS takođe instalira Active Service Pages (*.asp) koji, između ostalog, dozvoljava korisniku da pregleda elektronsku poštu preko weba (Internet Explorer).

Postavljanje Microsoftovog Exchange servera 1.

Instalirajte Microsoft Exchande Server prema njegovim instrukcijama. Pristup Webu je opcija koja se automatski instalira ako ste prilikom instalacije IIS odabrali i Active Service Pages.

14 2.

Da

biste

dodali

Internet

servis

elektronske

pošte

izaberite

mišem

Start>Programs>Microsoft Exchange Administrator. Izaberite File>New Other>Internet Mail Service. Pritisnite default za sve opcije.

3.

Svi protokoli potrebni za Internet elektronsku poštu su ovim instalirani. Vaši protokoli bi trebalo da izgledaju kao na primeru koji sledi.

4.

Tražite od posrednika za Internet usluge da doda "Mail Exchange (MX) record" na sistem imena domena (DNS) ulaza ovog servera. To dozvoljava da se elektronska pošta korektno usmeri kroz Internet na ovaj računar.

15 5.

Uniformni lokator resursa (URL) za pristup elektronskoj pošti preko weba može se promeniti

u

Internet

Service

Manageru:

Start>Programs>Microsoft

Internet

Server>Internet Service Manager. Dva puta pritisnite mišem na uslugu WWW. Pritisnite jezičak Directories. Vaš URL direktorijum bi trebalo da izgleda slično primeru koji sledi.

Sada ste instalirali VPN server, web server i server elektronske pošte u cilju povećanja produktivnosti i efikasnosti zaposlenih koji rade daljinski. Č E S T I T A M O !!!

16

Postavljanje klijenta virtuelne privatne mreže i primer kako daljinski pristupiti intranet informacijama •

Uvod

•

Potreban softver i hardver

•

Kako postaviti klijenta da koristi virtuelnu privatnu mrežu

Uvod Ovaj članak ima nameru da vas upozna sa konceptom virtuelnog privatnog umrežavanja (VPN), pokazujući vam kako da postavite klijenta za korišćenje virtuelne privatne mreže. Potreban softver i hardver Softver •

Microsoft Windows95 OSR2 sa MSDUN 1.2

•

Microsoft Point to point Tunneling Protocol (PPTP)

•

Microsoft Dial up networking (DUN)

•

Microsoft Internet Explorer

Hardver •

Prenosni (notebook) računar sa mikroprocesorom Intel Pentijum ili Pnetijum II

•

Ugrađeni modem

Kako postaviti klijenta da koristi virtuelnu privatnu mrežu

Instalirajte PPTP protokol na WIN95 OSR2 računaru klijentu: 1.

Izaberite mišem Start>Settings>Control Panel.

2.

Dva puta pritisnite dugme Add/Remove Programs.

3.

Pritisnite tab Windows Setup. Izaberite Communications.

4.

Pritisnite dugme Details.

5.

Potvrdite polje Virtual Private Networking.

17 6.

Pritisnite OK. Pritisnite OK. Računar će zatražiti da ponovo pokrenete sistem. Pritisnite OK na ovaj zahtev.

7.

Ako nema VPN ikone, mora da se instalira MSDUN 1.2. Ova datoteka se nalazi na http://www.microsoft.com/Windows/images/getisdn/dload.htm

18

Pitanja privatnosti u mobilnim komunikacijama podataka Napisao: David Barth, Intel Corporation Uvod Koliko "privatnosti" Vam treba? •

Osnovni zahtev: digitalno bežično šifrovanje

•

Sledeći korak: izgradnja potpuno mobilnog rešenja sa bazom podataka

•

Prednosti virtuelnih privatnih mreža (VPN)

•

Izbor prave virtuelne privatne mreže

•

Uvod u VPN modele

•

VPN rešenja uspostavljena sopstvenim snagama

•

VPN usluge posrednika za Internet

•

Virtuelna privatna mreža za Vašu organizaciju

•

Upotreba šifrovanja za rešenje pitanja privatnosti kod mobilne komunikacije

Uvod Pitanja privatnosti postala su, sa porastom popularnosti poslovnih komunikacija preko Interneta i bežičnih celularnih mreža, predmet sve većeg interesovanja među menadžerima informacionih tehnologija. Javna priroda takvih mreža znači da nedobronamerni učesnici mogu da presretnu komunikacione signale i, ako su ti signali bili poslati u vidu nešifrovanog otvorenog teksta, pročitaju svaku poverljivu informaciju. Kao odgovor na ovaj problem razvijene su i uspostavljene tehnike za šifrovanje podataka, koje omogućavaju korisnicima da čak i najpoverljivije podatke šalju preko privatnih mreža. Upotreba šifrovanja podigla je nivo privatnosti bežične komunikacije u odnosu na žične telefonske mreže, ali u nekim slučajevima to ne može ponuditi dovoljno bezbednosti. Radi veće privatnosti, šifrovanje se može uspostaviti preko cele daljinske veze upotrebom Virtuelne privatne mreže (Virtual Private Network - VPN), koja može da obezbedi jedno rešenje visoke bezbednosti za sve mobilne korisnike.

19 Šifrovanje podataka je sada neophodan dodatak svakoj tehnologiji mobilnih komunikacija, ali raspoloživa rešenja i izbori mogu da budu zbunjujući. Svrha ovog teksta je da objasni kako se šifrovanje uklapa u model mobilnih podataka i o čemu bi trebalo voditi računa prilikom izbora rešenja šifrovanja za mobilne poslovne komunikacije. Koliko "privatnosti" Vam treba? Bezbednost komunikacija zasnovana je na pretpostavci da svaka poverljiva informacija ima pridruženu vrednost. Vrednost je ta koja navodi druge učesnike da pokušaju da ukradu informaciju. Cilj svakog bezbednosnog rešenja je da zaštiti tu vrednost, učinivši zlonamernim napadačima teškim čitanje privatnih podataka. Dovoljan nivo bezbednosti je dostignut kada napor i troškovi napadača da probiju privatnost nadmaše vrednost poverljivih podataka. Recimo, većina ljudi mirno bi ostavila dva dolara na stolu u svojoj kući - jer taj iznos ne bi bio vredan napora ili rizika koje preduzima lopov da bi provalio u kuću i ukrao novac. Sa druge strane, ako bi se radilo o dve hiljade dolara, tada bi vlasnik morao dva puta da razmisli pre nego što ostavi novac na stolu - zahtevani nivo bezbednosti raste sa porastom vrednosti koja privlači lopova. Dakle, pre nego što izaberemo bezbednosno rešenje, moramo prvo razmotriti vrednost informacije koja treba da se drži u privatnosti. To će obezbediti merenje performansi za minimalni nivo bezbednosti koji se traži. Osnovni zahtev: digitalno bežično šifrovanje U svom ranom dobu bežična celularna komunikacija je koristila nešifrovane analogne signale. Kako su ti signali emitovani preko otvorenog vazdušnog prostora, sve što je nekome ko bi želeo da provali u tuđu privatnost bilo potrebno bio je prijemnik koji bi mogao da presretne određene signale. Takvi sistemi obezbeđivali su veoma malo sigurnosti i očigledno nisu bili pogodni za potrebe prenošenja poverljivih poslovnih informacija. Moderni digitalni bežični sistemi konstruisani su imajući u vidu takve potrebe, pa su popravili slabosti ranijih sistema u pogledu bezbednosti. Danas, svi digitalni celularni sistemi obezbeđuju šifrovanje kao deo svojih standardnih usluga. Pre nego što signal izađe iz bežičnog predajnika, njime se matematički manipuliše ("šifruje se") da bi postao nečitljiv za svakog drugog osim za onu osobu kojoj je namenjeno da primi signal. Kada je signal jednom šifrovan, više nije važno da li je lopov presreo signal,

20 jer on ne može da razume podatke. Lopov može da upotrebi računar i pokuša da pročita šifrovani signal, ali takav napor bi bio preskup i odneo bi previše vremena da bi bio vredan presretnutih informacija. Kada se uspostavi veza preko celularne mreže, ta mreža jedino obezbeđuje bežični pristup javnoj komutiranoj telefonskoj mreži (Public Switched Telephone Network - PSTN) - običnom zemaljskom telefonskom sistemu. Sva digitalna bežična rešenja imaju za cilj da obezbede dovoljno šifrovanja da nivo privatnosti dostigne ili prevaziđe nivo privatnosti koji daje javna mreža. Sa pojavom modernih sistema za šifrovanje, bežični link nije više slaba tačka u komunikacionom linku - jer je nivo privatnosti koji obezbeđuje celularna komunikaciona sesija u najmanju ruku toliko visok kao onaj koju obezbeđuju sesije zasnovane na javnoj komutiranoj telefonskoj mreži. Ova upotreba digitalnog bežičnog šifrovanja omogućava korisnicima da glatko prelaze između mobilnih veza zasnovanih na javnim komutiranim telefonskim mrežama koje koriste zemaljske žične linije i mobilnih bežičnih rešenja koja su isto tako bezbedna. To je osnova upotrebu mobilnih bežičnih komunikacija - sve što preduzeće može bezbedno da pošalje preko zemaljskih linija, može da se pošalje putem celularne veze bez ikakvih promena u odnosu na osnovnu bežičnu uslugu. Sledeći korak: izgradnja potpuno mobilnog rešenja sa bazom podataka Standardno šifrovanje preko bežične veze može da bude još uvek nedovoljno za potpuno mobilno rešenje. Najveći potencijalni problem kad je u pitanju poverenje u standardnu bežičnu sigurnost za sve potrebe mobilnih korisnika jeste činjenica da je šifrovanje obezbeđeno samo do javne komutirane telefonske mreže. Dalje od te tačke korisnik nema nikakvu kontrolu nad sigurnosnom zaštitom svoje komunikacije. Ovaj problem može da ograniči tip informacije koju korisnik može da pošalje ili uzme - veliki broj menadžera informacionih tehnologija bi bio zabrinut ako bi dozvolio svojim korisnicima da prenose vrlo poverljive informacije preko veze koja nudi bezbednost samo na nivou javne komutirane telefonske mreže. Problem postaje još urgentniji ako se uzme u obzir da korisnik može poželeti da bira broj preko posrednika Internet usluga. U tom slučaju, nešifrovani podaci bili bi poslati širom Interneta, koji gotovo da ne pruža nikakvu zaštitu privatnosti.

21 Treba zapamtiti da je lanac sigurnosti u sesiji mobilne komunikacije jak onoliko koliko je jaka njegova najslabija karika. Na primer, nije od velike pomoći šifrovanje bežičnih podataka, ako se ti podaci posle dešifruju u okruženju nesigurnog Interneta. U prošlosti, većina organizacija je rešavala to pitanje implementiranjem različitih bezbednosnih postupaka za različite tipove veza, kao što su dopuštenje da poverljive informacije budu poslate telefonskim linijama, a da samo informacije koje nisu poverljive idu na Internet. Sa porastom broja raspoloživih opcija veza, zadatak implementacije i sprovođenja različitih bezbednosnih postupaka postajao bi složen za administratora i sve nepogodniji za korisnika. Da bi pojednostavile i razrešile ovakve probleme mnoge organizacije biraju da prošire upotrebu šifrovanja u svojim mobilnim komunikacijama, kao deo napora da se implementira jaka bezbednosna politika u celokupnoj njihovoj organizaciji. To je imalo za posledicu novu klasu proizvoda i usluga koja se zove Virtuelna privatna mreža (VPN). VPN omogućava organizaciji da šalje poverljive podatke preko Interneta tako što ih prvo šifruje, kako bi postali nečitljivi za razna njuškala. Upotreba šifrovanja znači da bezbednost virtuelne privatne mreže nije zavisna od tipova veza koje se koristi ili od posredničkih linkova, odnosno da se daje isti nivo bezbednosti svim korisnicima. To korisnicima daje slobodu da se priključuju na mrežu na bilo koji način, ne vodeći računa o tome kakvu vrstu informacija emituju. Rezultat je fleksibilno, sveobuhvatno rešenje, pogodno za sve mobilne korisnike. Prednosti virtuelnih privatnih mreža (VPN) VPN proizvodi su predodređeni da postanu rešenje daljinskog pristupa i za velika i za mala poslovna okruženja iz sledeća tri glavna razloga: •

Oni su relativno jevtini u poređenju sa tradicionalnim uslugama putem biranja telefonskog broja.

•

Oni mogu da ponude veliku količinu kontrole bezbednosnih postupaka.

•

Oni su vrlo fleksibilni, što je možda najvažnije za mobilnog korisnika.

VPN rešenja mogu da uštede mnogo novca u odnosu na tradicionalne usluge putem biranja telefonskog broja. Kako virtuelne privatne mreže mogu da šalju sve svoje podatke putem Interneta, nema potrebe da se direktno bira broj u preduzeću. Umesto toga, korisnik samo treba da se poveže na Internet, bez obzira gde se u svetu nalazi. U najvećem broju slučajeva to će

22 značiti povezivanje preko posrednika usluga za Internet. S obzirom na posredničke usluge za Internet koje su danas na raspolaganju, povezivanje na Internet na taj način često zahteva samo jedan lokalni poziv u bilo kom većem gradu na svetu. To se odražava kao direktna ušteda u troškovima telefonskih računa. Preduzeću je bolje da plaća malu mesečnu nadoknadu posredniku Internet usluga i samo troškove lokalnih telefonskih poziva, nego skupe međugradske telefonske veze iz minuta u minut dokle god je udaljeni zaposleni korisnik povezan. Pored toga, s obzirom na to da virtuelna privatna mreža prenosi teret odgovornosti obezbeđivanja pouzdane Internet veze po biranju broja na posrednika Internet usluga, više novca se uštedi kada preduzeće ne treba više da administrira i da održava modeme udaljenih korisnika. Virtuelne privatne mreže mogu se postaviti relativno jeftino. Usluge virtuelne privatne mreže mogu da se postepeno povećavaju u preduzeću, a mogu i da koegzistiraju sa trenutno postojećim rešenjima za mobilan pristup. Druga prednost virtuelnih privatnih mreža sastoji se u tome što one mogu da ponude vrlo visok stepen kontrole administratoru bezbednosti. Najveći broj VPN rešenja daje administratoru neki stepen kontrole nad jačinom šifrovanja koju koristi virtuelna privatna mreža, a neki proizvodi dozvoljavaju detaljnu kontrolu nad nizom bezbednosnih karakteristika, počevši od autorizacije zahteva za korisnika na prava za pristup, često na bazi korisnik-prema-korisniku. U kombinaciji sa složenim softverom za praćenje korisnika ovi proizvodi dozvoljavaju da se lako obavi potpuno nadgledanje i sprovođenje postupaka za sve korisnike. Ako administrator zaključi da treba da se implementiraju različiti postupci za različite korisnike ili tipove informacija, ovakva centralizovana kontrola može biti od velike koristi. Za mobilne korisnike najveća prednost virtuelnih privatnih mreža jeste njihova fleksibilnost. Kako na nivo šifrovanja koji obezbeđuje VPN ne utiče upotrebljena komunikaciona tehnologija, zaposleni pojedinac koji daljinski pristupa može da koristi bilo koji tip veze. Dostignuti nivo privatnosti je postojan, bez obzira na to da li je priključen na Internet direktno, preko posrednika Internet usluga i zemaljske linije ili preko posrednika i bežično. To daje slobodu da se koristi najpogodnija veza, bez brige u vezi sa različitim bezbednosnim postupcima za svaki tip veze. S gledišta administratora, postoji širok spektar raspoloživih VPN proizvoda i usluga, tako da on može pronaći rešenje koje odgovara potrebama njihove organizacije za upravljanje postupcima, uspostavljanje i održavanje. Na prvi pogled, veliki broj različitih rešenja virtuelnih privatnih mreža može da zbunjuje, ali ova različitost osigurava da će

23 preduzeće biti sposobno da pronađe pravu kombinaciju karakteristika, prema svojim potrebama. Izbor prave virtuelne privatne mreže Kada razmatramo moguća rešenja virtuelne privatne mreže za neku organizaciju, moramo odmeriti tri prethodno spomenuta glavna činioca: troškove, kontrolu postupaka bezbednosti i fleksibilnost. Troškovi različitih rešenja virtuelnih privatnih mreža mogu široko da se menjaju. Mada će na duži rok većina virtuelnih privatnih mreža uštedeti novac u odnosu na tradicionalna rešenja daljinskog pristupa, troškovi uspostavljanja i održavanja mogu da zadaju brige. Kako im se dodaju nove osobine da bi se povećala bezbednost i kontrola nad postupcima, mnogi VPN proizvodi postaju složeniji, što utiče i na troškove uspostavljanja, a naročito održavanja virtuelnih privatnih mreža. Važno je da se razmotri tip informacija koje će korisnici želeti da šalju preko virtuelne privatne mreže, koji nivo kontrole treba da se obavlja nad sigurnosnim postupcima i koliko znanja postoji u organizaciji za održavanje VPN sistema. Ova razmatranja mogu da pomognu u sužavanju izbora virtuelnih privatnih mreža koje odgovaraju zahtevima organizacije u pogledu troškova. Mnoga preduzeća se odlučuju da uštede novac putem postepenog razvoja nove virtuelne privatne mreže. Postojeće rešenje za daljinski pristup može da se održava ili sporo menja kako se nova virtuelna privatna mreža uspostavlja ili, u početku, kupuje od posrednika za Internet usluge. Kontrola postupaka bezbednosti može da uključi sve od nivoa šifrovanja i izbora mehanizma autorizacije, preko nivoa granularnosti koji će biti primenjen za profile korisnika, pa sve do stepena nadgledanja i zapisivanja tokom korisničkih sesija. Veća kontrola postupaka bezbednosti često će rezultovati fleksibilnijim rešenjem, ali može takođe dodati nove troškove zbog povećane složenosti virtuelne privatne mreže. Mnoge organizacije više vole da imaju veću kontrolu nad svojim rešenjem, bilo zato što nisu voljne da povere svoju bezbednost spoljašnjem preduzeću (ako se virtuelna privatna mreža kupuje od, na primer, posrednika za Internet usluge) bilo zato što žele veću slobodu u razvoju sopstvenih postupaka u budućnosti. Međutim, ova dodatna kontrola košta i ako osnovna virtuelna privatna mreža koja obezbeđuje standardne usluge zadovoljava Vaše potrebe, onda takvo rešenje možete dobiti po relativno niskim cenama.

24

Fleksibilnost VPN rešenja je posebna briga mobilnih korisnika koji žele da pristupaju mreži preduzeća sa različitih lokacija koristeći različite tehnologije veza. Jedna od najvažnijih osobina virtuelnih privatnih mreža za mobilne korisnike jeste njihova upotrebljivost sa bilo koje lokacije (ili, u najmanju ruku, iz bilo kog većeg mesta) u svetu. Neki VPN proizvodi ovo ne obezbeđuju - na primer, neke usluge mogu zahtevati da se korisnik direktno priključi na određeni server kako bi koristio virtuelnu privatnu mrežu. Korisnici bi takođe trebalo da imaju opcije korišćenja različitih tehnologija veza sa virtuelnom privatnom mrežom. Na primer, ne bi trebalo da pravi nikakvu razliku ako korisnik želi da se poveže preko direktne Internet veze, telefonskog poziva putem zemaljske linije ili upotrebom bežične veze. Većina virtuelnih privatnih mreža ne pravi razliku između tipova veza u tom smislu. Za administratora, fleksibilnost može da znači da bi virtuelna privatna mreža trebalo da bude sposobna za evoluciju zajedno sa potrebama organizacije i sa promenama u tehnologijama Interneta i posrednika njegovih usluga. Na primer, administrator može da poželi virtuelnu privatnu mrežu promenljive veličine koja da prati rast preduzeća ili vrlo modularno rešenje koje može da radi u kombinaciji sa različitim uslugama posrednika za Internet. Uvod u VPN modele Tržište virtuelnih privatnih mreža još se razvija i prodavci nastavljaju da traže pravu kombinaciju osobina koja bi bila privlačna za veliki broj organizacija. To može da bude dobro za organizaciju koja želi da implementira novo VPN rešenje, jer postoji mnogo mogućnosti za izbor različitih kombinacija osobina i raznih modela korišćenja. Sa druge strane, veliki broj opcija može brzo da postane zbunjujući. Svako VPN rešenje ima prednosti u pogledu troškova, kontrole postupaka i fleksibilnosti, pa često treba praviti kompromis između svih tih činilaca. Za mobilnog korisnika postoji čitav spektar raspoloživih VPN rešenja, koja obično predstavljaju neku od kombinacija dva jednostavna modela. Na jednom kraju spektra su VPN rešenja koja su ispostavljena sopstvenim snagama i održavana isključivo od strane organizacije koja koristi virtuelnu privatnu mrežu. U ovom modelu posrednik usluga za Internet se koristi samo za povezivanje na Internet. Ako organizacija nije spremna da isključivo ona upravlja svojom virtuelnom privatnom mrežom, može poželeti da kupi neku od VPN usluga od posrednika za Internet usluge. U ovom modelu, organizacija koja koristi virtuelnu privatnu mrežu ima malu ili uopšte nikakvu odgovornost za održavanje VPN.

25

VPN rešenja uspostavljena sopstvenim snagama Uspostavljanje VPN rešenja sopstvenim snagama traži da organizacija kupi, uspostavi i održava svoju sopstvenu virtuelnu privatnu mrežu. U ovom modelu VPN hardverski ili softverski proizvodi kupuju se i instaliraju u direkciji organizacije, kao i na svakom udaljenom korisničkom računaru. Rešenja razvijena sopstvenim snagama mogu da ponude sveobuhvatnu bezbednost koja je pod punom kontrolom preduzeća. Najveća prednost virtuelne privatne mreže razvijene sopstvenim snagama sastoji se u tome što je ona veoma fleksibilna. Kako je virtuelna privatna mreža instalirana samo na krajnjim tačkama daljinskog povezivanja, može se upotrebiti svaki tip posredničke veze. Uopšte nije važno da li je udaljeni korisnik povezan bežično, putem Interneta, telefona ili neke druge tehnologije - VPN obezbeđuje isti nivo privatnosti sa-kraja-na-kraj veze. Potpuna kontrola održavanja virtuelne privatne mreže takođe ima očiglednih prednosti. Ova kontrola dozvoljava organizaciji da menja VPN po potrebi kako bi je podesila promenjenim zahtevima korisnika ili postupcima za bezbednost. Ona takođe daje slobodu organizaciji da kupi od nekoga spolja usluge održavanja za koje smatra da su joj odgovaraju, a da zadrži kontrolu u svom okviru nad onim postupcima nad kojima to želi. Virtuelna privatna mreža razvijena sopstvenim snagama ima vrlo dobre osobine za kontrolu nad postupcima bezbednosti. Organizacija koja sama upravlja svojom virtuelnom privatnom mrežom može slobodno da izabere bilo koju strategiju bezbednosti za koju smatra da joj odgovara. To dozvoljava organizaciji da postupke bezbednosti učini jednostavnijim ili složenijim po izboru, kao i da ih menja po potrebi. Ako se traži precizna kontrola postupaka ili zapisivanje za vreme sesije, postoji veliki broj proizvoda koji to omogućavaju. Nezgodna strana potpune odgovornosti za postupke u virtuelnom privatnoj mreži sastoji se u tome što ovo često može da postane jedan od najsloženijih aspekata održavanja mreže. Kao rešenje za taj problem mnogi VPN dobavljači nude dodatne alate za pomoć u obavljanju kontrole postupaka. Troškovi su obično najveća briga pri implementiranju virtuelne privatne mreže u sopstvenoj režiji. Veliko i složeno VPN rešenje može da naraste, postane sasvim skupo i, u zavisnosti od

26 raspoložive ekspertize u organizaciji, mogu da se pojave dodatni početni troškovi za obuku osoblja za uspostavljanje i održavanje VPN sistema. U vrlo malim organizacijama ovi troškovi mogu da učine neopravdanim uspostavljanje virtuelne privatne mreže sopstvenim snagama. Ipak, većina preduzeća će vremenom doći do toga da vredi imati fleksibilno bezbednosno rešenje s-kraja-na-kraj veze i kontrolu nad njihovim važnim bezbednosnim aktivnostima, uz dodatne uštede koje VPN nudi u odnosu na tradicionalne usluge po biranju telefonskog broja. VPN usluge posrednika za Internet Mnogi posrednici za Internet počinju da nude virtuelne privatne mreže kao svoju glavnu uslugu. U ovom modelu, neki od teških ili skupih aspekata virtuelne privatne mreže kupuju se kod posrednika za Internet. Internet posrednici nude različite nivoe VPN usluga - neke od njih rade većinu aspekata VPN održavanja, dok druge daju samo izvesne delove, ostavljajući ostale aspekte, na primer autorizaciju, u nadležnosti klijenta. Upotreba prave usluge koja odgovara potrebama organizacije može da ima za posledicu jeftino rešenje koje se lakše implementira. Najveća prednost VPN usluga kod posrednika za Internet jesu uštede u troškovima i jednostavnost. Kupovinom virtuelne privatne mreže kod posrednika za Internet organizacija može da izbegne obuku ili zapošljavanje osoblja za uspostavljanje i održavanje VPN sistema. Te uštede u troškovima idu dodatno uz uštede u međugradskim vezama i održavanje veza koje postoji u sopstvenim VPN rešenjima. U zavisnosti od toga koliko je VPN usluga kupljeno van organizacije, uticaj posrednika za Internet može da olakša uspostavljanje i održavanje virtuelne privatne mreže. Mnoge usluge posrednika za Internet ne zahtevaju nikakav softver kod udaljenog klijenta i one često mogu da opslužuju administrativne poslove kao što su kontrola postupaka bezbednosti. Ova dodatna jednostavnost može da bude od velike koristi malim poslovnim organizacijama koje ne žele prevelike troškove niti teškoće da bi uspostavile virtuelnu privatnu mrežu za mali broj svojih zaposlenih. Kupovina spoljnih usluga može takođe da olakša nekoj organizaciji uspostavljanje svoje virtuelne privatne mreže korak po korak. Na primer, ona može da nastavi sa upotrebom svojih postojećih modema ili rešenja mobilnog pristupa, dok postepeno prevodi zaposlene na VPN usluge posrednika za Internet, ili čak može da koristi VPN posrednika za Internet dok u isto vreme uspostavlja VPN u sopstvenoj režiji.

27 Održavanje postupaka za bezbednost može da bude lakše kada se kupi od posrednika Internet usluga, ali taj nedostatak kontrole može predstavljati i lošu stranu ovog modela. Posrednik za Internet usluge može nuditi premalo opcija za potrebe preduzeća ili preduzeće može jednostavno da odluči da je bezbednost suviše važna kako bi bila poverena nekome spolja. Postoji i rizik kada se postupci šifrovanja kupe od nekoga van organizacije. To bi moglo da znači da, dok su podaci sigurno šifrovani od strane posrednika kada se šalju preko Interneta, pre nego što stignu do njega, oni se šalju kao otvoreni tekst. U većini slučajeva veza između udaljenog korisnika i posrednika Internet usluga ostvaruje se putem zemaljskih linija ili bežičnih telefona. Te veze mogu onda da postanu slaba karika u lancu daljinske sesije. Ova situacija može da bude neprihvatljiva za neke organizacije koje virtuelnu privatnu mrežu koriste za prenos vrlo poverljivih podataka. Prepoznajući taj problem, mnogi posrednici za Internet usluge nude sposobnost proširenja šifrovanja na celom putu do klijenta. Ipak, ovo obično uključuje i odustajanje od nekih prednosti u jednostavnosti i lakoći uspostavljanja veza, koje čini privlačnom kupovinu takvih usluga van sopstvene organizacije. Jedna od osobina koje nekim posrednicima za Internet usluge mogu da nedostaju jeste fleksibilnost. Ako su kritične VPN usluge poverene posredniku za Internet, onda je važno proveriti da li je potrebna direktna veza ka tom posredniku da bi se osigurala bezbednost. Ako "osnovni" posrednik za Internet usluge obezbeđuje delove virtuelne privatne mreže koji se ne mogu zameniti od strane drugih posrednika, tada mobilni korisnici ne mogu uvek da koriste mrežu. Posrednici za Internet usluge pokušavaju da reše ovaj problem na različite načine, od postavljanja dodatnog softvera kod udaljenih klijenata, do uspostavljanja partnerstva sa drugim posrednicima. U većini slučajeva, to će vratiti neke od VPN aktivnosti natrag u sopstvenu organizaciju. Virtuelna privatna mreža za Vašu organizaciju Biranje najbolje virtuelne privatne mreže za Vašu organizaciju može da bude zbunjujući proces, imajući u vidu veliku ponudu na tržištu. Dva gore diskutovana modela mogu da se realizuju preko mnogo različitih proizvoda. Ovi proizvodi mogu da se, funkcionalno i po karakteristikama, preklapaju u različitoj meri. Najbolje rešenje za organizaciju može ležati između te dve krajnosti, kao kombinacija kupovine kod posrednika za Internet usluge i razvoja u sopstvenoj režiji. Virtuelna privatna mreža uspostavljena sopstvenim snagama može da obezbedi maksimum fleksibilnosti i kontrole, ali i da ne bude vredna početnih troškova i

28 složenosti za male organizacije. Za veće organizacije, virtuelna privatna mreža zasnovana na posredniku Internet usluga može da bude upotrebljena kao pilot-instalacija ili privremeno rešenje, da bi se pomogla migracija ka sopstvenom sistemu. Sopstveno rešenje će na duži rok uštedeti više novca i verovatno obezbediti veću fleksibilnost za pokrivanje svih potreba privatnosti u preduzeću. Jednom kada je doneta odluka o tome da virtuelna privatna mreža može da ponudi privatnost i pogodnost Vašoj organizaciji u pogledu troškova u odnosu na tradicionalna uspostavljanja veza, preostaje samo da se odluči koji činioci najbolje odgovaraju Vašoj situaciji i potrebama Vaših mobilnih korisnika. Najverovatnije, VPN rešenje koje će zadovoljiti Vaše potrebe leži negde između proizvoda razvijenog u potpunosti sopstvenim snagama i kupovine svih usluga van sopstvene organizacije. Upotreba šifrovanja za rešenje pitanja Vaše mobilne privatnosti

Šifrovanje je dalo organizacijama mnogo novih opcija za zaštitu poverljivih podataka. Upotreba šifrovanja u bežičnim komunikacijama učinila ih je isto toliko bezbednim kao i sesije po zemaljskim linijama javnih komutiranih telefonskih mreža. Organizacije koje žele dodatnu bezbednost, ili one koje nameravaju da slobodno šalju poverljive podatke preko Interneta ili bilo kog drugog komunikacionog medijuma, mogu da implementiraju šifrovanje kroz sve komunikacione linkove uspostavljanjem virtuelne privatne mreže. Virtuelna privatna mreža dozvoljava korisnicima da bezbedno šalju podatke preko svih tipova veza, a može u velikoj meri da pojednostavi kontrolu postupaka bezbednosti i štedi novac preduzeća prilikom mobilnih pristupa. Ima mnogo VPN rešenja između potpuno samostalno uspostavljenih, sa jedne, i onih kupljenih kod posrednika, sa druge strane. Virtuelne privatne mreže uspostavljene sopstvenim snagama nude visok nivo fleksibilnosti i kontrole, a mogu da štite sve poverljive podatke čim ovi napuste internu mrežu preduzeća. Međutim, takva rešenja mogu da budu preskupa za vrlo male organizacije. Virtuelne privatne mreže kod posrednika Internet usluga dobre su kao male implementacije ili privremena rešenja, ali treba posebno obratiti pažnju na pitanje da li zadovoljavaju potrebe mobilnih korisnika. Pravo rešenje za Vaše preduzeće biće ono koje najbolje uspostavlja ravnotežu između Vaših potreba u pogledu troškova, kontrole postupaka i fleksibilnosti virtuelne privatne mreže.