Часть 12 Виртуальные частные сети

 

 

†Оглавление†

<<< Предыдущая Глава | Следующая Глава >>>

 

Виртуальные частные сети обеспечивают средства туннелирования трафика посредством шифрованного соединения, предотвращая его видимость или возможность изменения в процессе передачи. pfSense предлагает три варианта реализации VPN - IPSec, OpenVPN и PPTP. В этой главе рассматривается использование VPN, плюсы и минусы каждого типа VPN предоставляемого pfSense и принципы выбора лучшего типа VPN подходящего для вашей среды. В последующи хглава хмы перейдём к детальному обсуждению каждого варианта VPN.

12.1. Общее развёртывание

Существует четыре возможности общего развёртывания VPN в pfSense, и все они описаны в этом разделе.

12.1.1. Соединение типа site-to-site

Данный вид подключения, в основном, используется для соединения сетей расположенных в разных локациях, когда требуется постоянное соединение между сетями. Этот способ, часто используется для подключения филиалов к головному офису, подключения к сети партнёров по бизнесу и т.п. До появления технологии VPN, единственным решением данной проблемы были схемы использования частных WAN. Эти технологии включали в себя выделенные соединения типа точка-точка, технологи коммутации пакетов, такие как Frame Relay и ATM, а в последнее время MPLS (Multiprotocol Label Switching) и сервисы Ethernet основанные на использовании оптоволокна и меди. Хотя эти типы частных соединений обеспечивают надёжну юи быстру юсвязь, они весьма затратны. VPN технология получила высоку юпопулярность благодаря тому, что обеспечивает тот же уровень безопасности с гораздо меньшими затратами.

12.1.1.1. Ограничения VPN соединения

В некоторых сетях, обеспечить требования к пропускной способности и низкой задержке может только схема частного WAN соединения. Задержка, как правило основной ограничивающий фактор. Схема T1 точка-точка имеет сквозну юзадержку в районе 3-5 мс, а задержка первого хопа в сети провайдера будет гораздо выше, если не сказать более. Сервис Metro Ethernet обеспечивает латентность на участке end-to-end на уровне 1-3 мс, что значительно меньше чем латентность первого хопа в сети провайдера. Латентность будет изменяться в зависимости от географических расстояний между узлами. Указанные цифры характерны для участков в диапазоне пары сотен миль друг от друга.

Виртуальные частные сети обычно работают с латентность 30-60 юмс, в зависимости от используемого подключения к Интернет и географического расстояния между локациями узлов. Вы можете свести латентность к минимуму и увеличить производительность VPN с помощь юпровайдера, но это не всегда возможно.

Некоторые протоколы плохо работают при высокой латентности. Протокол SMB является типичным примером этого случая. При латентности до 10 мс протокол работает нормально. При повышение этого значения до 30 мс и более, протокол работает вяло, а при значение более 50 мс вообще крайне медленно, что приводит к частым зависаниям при просмотре папок, сохранении файлов и прочих операциях. Простое получение списка директорий требует многочисленных обменов между клиентом и сервером, что значительно усугубляется увеличением латентности. В Windows Vista и Server 2008, Microsoft представила протокол SMB 2.0, который включает новые возможности решения данной проблемы. SMB 2.0 обеспечивает отправку нескольких действий в одном запросе и имеет возможность создания каналов запросов, а это означает, что клиент может отправить дополнительные запросы не дожидаясь ответов на предыдущие. Если в сети используется исключительно Vista, Server 2008 и более новые ОС, описанная проблема будет незначительной, однако, учитывая редкость таких условий, данный вопрос требует особого внимания.

Ещё два примера протоколов чувствительных к задержкам - Microsoft Remote Desktop Protocol (RDP) и Citrix ICA. Существует очевидное различие в оперативности и эффективности данных протоколов при изменении латентности от 20 мс при работе посредством приватного соединения WAN и 50-60 мс при работе через VPN. Если удалённые пользователи работают на общих рабочих столах используя тонких клиентов, возникнет ощутимая разница в производительности между частными соединениями WAN и VPN. Независимо от того, что разница в производительности весьма велика, экономическое оправдание использования частного соединения WAN может варьироваться в зависимости от среды. В некоторых средах, потеря производительности может считаться приемлемой.

В конкретной среде могут существовать иные сетевые приложения, чувствительные к возникающим задержкам, для которых снижение производительности при использовании VPN является неприемлемым. Или все ваши рабочие места могут быть сконцентрированы на небольшой территории, обслуживаемой тем же провайдером. Тогда VPN может соперничать с частными соединениями WAN. Всегда следует учитывать, что производительность является важным фактором при планировании VPN.

12.1.2 Удалённый доступ

Удалённый VPN доступ позволяет пользователям безопасно подключаться к сети из любой точки в которой доступно подключение к Интернет. Это наиболее часто используемая схема для работы мобильных сотрудников (которых часто называют "воинами дорог"), чья работа требует частых поездок и даёт возможность осуществлять работу из дома. Кроме того, данная схема позволяет предоставить временный доступ подрядчиков и поставщиков к ресурсам вашей сети.

12.1.3. Защита беспроводных сетей

VPN предоставляет дополнительный уровень защиты для ваших беспроводных сетей. Данный тип защиты двухсторонний, т.к., во-первых он предоставляет дополнительный уровень шифрования трафика, проходящего по беспроводной сети, а во-вторых развёртывание можно реализовать таким образом, что будет требоваться дополнительная аутентификация для доступа к сетевым ресурсам. Такое развёртывание во многом аналогично удалённому доступу. Мы будем говорить об этом в разделе 18.6. "Дополнительная защита вашей беспроводной сети".

12.1.4. Безопасный релей

Удалённый VPN доступ может быть настроен таким образом, что позволит всему трафику от клиентских систем проходить через VPN. Это неплохо, когда используются ненадёжные сети, такие как беспроводные точки доступа, поскольку позволяет весь трафик пропустить через VPN и предоставить выход в Интернет с вашего VPN сервера. Данный метод позволяет защититься от целого ряда атак, которые могут производится на ненадёжные сети, хотя он отрицательно влияет на производительность, поскольку добавляет число хопов и дополнительну юлатентность для всех ваших соединений. Это влияние, как правило не значительное при высокой скорости подключения и достаточной географической близость .

12.2. Выбор решения VPN для вашей среды

Каждое решение VPN имеет свои плюсы и минусы. В этом разделе мы рассмотрим основные соображения выбора решения VPN, предоставляющие информаци ювыбора решения для вашей среды.

12.2.1. Взаимодействие

Если вам необходимо решение для взаимодействия с брандмауэром или маршрутизатором иного производителя, как правило IPsec станет лучшим выбором, поскольку он входит практически в любые реализации устройств VPN. Для реализации взаимодействия site t site, IPsec, как правило, является единственным выбором. OpenVPN обеспечивает взаимодействие с иными типами брандмауэров и VPN устройств, но не в полной мере. Взаимодействие с использованием PPTP в данной ситуации не применимо, поскольку он не может работать в соединении site to site.

12.2.2. Соображения в плане аутентификации

Из вариантов VPN, имеющихся в pfSense 1.2.x, только PPTP поддерживает аутентификаци юпо имени пользователя и парол . IPsec юи OpenVPN полагаются исключительно на общие ключи и сертификаты. Сертификаты OpenVPN могут быть защищены паролями, и в этом случае, компрометация самого сертификата недостаточна для подключения к VPN. Отсутствие дополнительной аутентификации может привести к рискам потери и кражи информации или взлому системы, хранящей ключи и сертификаты, а это в сво юочередь означает, что тот кто имеет доступ к устройству VPN может подключиться к VPN.

Однако схема аутентификации не идеальна. На скомпрометированной системе может быть установлен кейлоггер для перехвата вводимых с клавиатуры паролей и логинов. Если жёсткий диск не зашифрован, в случае утери или кражи системных ключей они могут быть использованы для подключения к VPN.

Следует иметь ввиду, что пароли могут быть взломаны в течение нескольких минут если у вас есть доступ к незашифрованному диску. Пароли безопасности часто компрометируются записями пользователя, который хранит их в открытом виде или на бумажных носителях. В pfSense 2.0, все возможные варианты VPN поддерживают помимо общих ключей и сертификатов использование имени пользователя и пароля.

12.2.3. Простота конфигурирования

Все варианты VPN достаточно просто настроить, однако имеются некоторые различия. PPTP весьма прост в настройке, и является наиболее простым для первоначального запуска, однако имеет значительные недостатки во многих областях. IPsec имеет многочисленные опции конфигурирования и может показаться весьма трудоёмким для непосвящённых. OpenVPN, для большинства рабочих сред, требует использование сертификатов удалённого доступа и может быть несколько труден в управлении. IPsec и OpenVPN, во многих случаях и по различным причинам, являются более предпочтительными вариантами, однако не блещут простой настройки.

12.2.4. Совместимость с Multi-WAN

Если вы хотите, чтобы ваши пользователи имели возможность подключения к нескольким соединениям WAN, PPTP вам будет недоступен, поскольку функции GRE не сочетаются с тем, как pfSense работает с Multi-WAN. IPsec и OpenVPN могут использоваться с несколькими соединениями WAN.

12.2.5. Доступность клиентов

Наличие клиентского ПО для удалённого VPN-доступа является одним из основных факторов рассматриваемых при выборе реализации. PPTP - единственный вариант с гарантированным наличием поддержки в большинстве ОС, однако все три опции имеют кроссплатформенну юсовместимость.

12.2.5.1. IPsec

Клиенты IPsec доступны для Windows, Mac OS X, BSD и Linux, хотя они не включаются по умолчани юв ОС, за исключением нескольких дистрибутивов. Хорошим бесплатным вариантом для Windows является клиент Shrew Soft [http://www.shrew.net/]. Mac OS X включает поддержку протокола IPsec, но не имеет дружественного интерфейса пользователя. Существу юсторонние бесплатные и коммерческие варианты клиента с удобным графическим интерфейсом. Клиент IPsec Cisco поставляемый в комплекте с iPhone и IPod Touch не совместим с реализацией IPsec pfSense.

12.2.5.2. OpenVPN

Клиенты OpenVPN доступны для Windows, Mac OS X, всех дистрибутивов BSD, Linux, Solaris и Windows Mobile, однако они не поставляются в базовых дистрибутивах ни одной из этих систем.

12.2.5.3. PPTP

Клиенты PPTP включены в любу юверси Windows, юначиная с Windows 95 OSR2, каждый релиз Mac OS X, Apple iPhone и IPod Touch, а так же доступны для всех дистрибутивов BSD и Linux.

12.2.6. Взаимоотношения с брандмауэрами

Протоколы VPN могут вызывать трудности при работе с брандмауэрами и устройствами NAT. В перву юочередь, это относится к удалённому доступу, когда пользователи находятся за различными брандмауэрами (с различными конфигурациями и возможностями), вне пределов вашего контроля.

12.2.6.1. IPsec

IPsec использует для работы порт UDP 500 и протокол ESP. Некоторые брандмауэры не поддерживают трафик ESP через NAT, так как протокол не имеет номера порта подобно TCP и UDP которые позволяют легко отслеживать протокол устройством NAT. Клиентам IPsec за NAT может потребоваться функция NAT-T, которая инкапсулирует трафик ESP на порт UDP 4500. В настоящее время pfSense не поддерживает NAT-T, а следовательно клиенты за NAT могут не работать. Одна оговорка поддержки NAT-T обсуждается в разделе 13.7, "IPsec и NAT-T".

12.2.6.2. OpenVPN

OpenVPN является наиболее удобным вариантом для брандмауэра. Поскольку он использует TCP или UDP, и не зависит от какой либо общей функциональности NAT (такой как переписывание порта источника), редко можно найти брандмауэр, который не будет работать с OpenVPN. Единственная трудность может возникнуть, если протокол и порт заблокированы. Вы можете использовать общий порт UDP 53 (обычно DNS), или TCP 80 (обычно HTTP) или 443 (как правило HTTPS), чтобы избежать выходной фильтрации.

12.2.6.3. PPTP

PPTP использует канал управления работающий на порту TCP 1723 и протокол GRE для передачи данных. GRE часто бывает заблокирован или нарушен брандмауэром или устройством NAT. Кроме того, NAT накладывает ограничения на многие брандмауэры, в том числе на pfSense (смотрите раздел 14.4, "Ограничения PPTP"). PPTP работает во многих средах, но пользователи часто сталкиваются с невозможность юработы. В некоторых случаях это может стать серьёзной проблемой отказа от использования PPTP. Например, некоторые беспроводные ISP 3G, назначают клиентам частные IP-адреса и не допускают NAT для трафика GRE, что приводит к невозможности использования PPTP через 3G на некоторых сетях.

12.2.7. Обеспечение криптографии

Одной из важнейших функций VPN является обеспечение конфиденциальности передаваемых данных. PPTP имеет множество проблем безопасности и некоторые конструктивные недостатки, которые делают его достаточно слабой реализацией VPN. Ситуация не на столько тяжёлая, как считают многие, и во многом безопасность PPTP зависит от выбора сложности паролей пользователей. Поскольку большинство пользователей не используют надёжные пароли, либо следуют плохой практике записывания паролей, PPTP более подвержен компрометации чем иные варианты VPN. PPTP по прежнему широко используется, хотя и является предметом многих дискуссий. Надёжные пароли всегда могут снизить риск. Там, где это возможно, я рекоменду юне использовать PPTP. Некоторые продолжают использовать его в своих развёртываниях.

Использование общих ключей IPsec может быть разрушено использованием слабых ключей. Используйте надёжные ключи, по крайней мере длинной 10 символов, содержащими смесь символов верхнего и нижнего регистров, цифры и символы.

Шифрование OpenVPN может быть скомпрометировано, если ваш PKI или общие ключи были раскрыты.

12.2.8. Резюме

Таблица 12.1, "Особенности и характеристики типов VPN" приводит обзор рассмотренных в данной главе технологий.

Таблица 12.1, "Особенности и характеристики типов VPN" 

 

12.3. VPN и правила брандмауэра

Правила брандмауэра для VPN в pfSense 1.2.x. обрабатываются несколько непоследовательно. В данном разделе описываются правила брандмауэра обрабатываемые для каждой из индивидуальных возможностей VPN. Для автоматически добавляемых правил, обсуждаемых здесь, вы можете отключить автоматическое добавление, отметив флаг Disable all auto-added VPN rules на странице System -> Advanced.

12.3.1. IPsec

Правила для трафика IPsec, поступающего на заданный WAN интерфейс автоматически разрешают трафик, как описано в разделе 6.5.1.5, "IPsec". Трафик инкапсулированный в активное соединение IPsec, управляется с помощь юправил определённых пользователями на вкладке IPsec страницы Firewall -> Rules.

12.3.2. OpenVPN

OpenVPN автоматически не добавляет правила для интерфейсов WAN, однако автоматически добавляет правила разрешающие трафик с аутентифицированных клиентов, что противоречит поведени IPsec юи PPTP.

12.3.3. PPTP

PPTP автоматически добавляет правила разрешающие TCP 1723 и трафик GRE в WAN IP. Трафик от подключённых клиентов PPTP управляется правилами определёнными пользователем на закладке PPTP страницы Firewall -> Rules, аналогично IPsec.

 

<<< Предыдущая Глава | Следующая Глава >>>

†Оглавление†