Objavljeno: 13.7.2005 13:35 | Avtor: Matjaž Klančar | Monitor Julij 2002

VPN za smrtnike

VPN (Virtual Private Network) ali povezovanje krajevnih omrežij brez najetih vodov po internetu že dolgo ni nikakršna novost. Zaradi zahteve po močni zaščiti podatkov, ki potujejo po odprtem internetu, so bili sistemi VPN v začetku omejeni na velika podjetja, ki so si drage dostopne točke VPN (Shiva, Checkpoint, Cisco...) lahko privoščila. Pozneje se je (cenovna) raven vendarle znižala, saj so na trg prodrli nekoliko cenejši izdelovalci, ki so merili na manj premožne ali manjše stranke. Podjetja, kot so Sonicwall, Watchguard ali Eicon, so na tem področju danes razmeroma močna, v ta razred pa vstopajo tudi že Cisco in Checkpoint. Kljub temu da gre za programsko podjetje, tudi slednji kar s strojnimi usmerjevalniki.

Tudi ti cenejši usmerjevalniki/naprave VPN vsi po vrsti temeljijo na sistemu licenc. Kupimo torej usmerjevalnik in doplačamo še za toliko in toliko (10, 50...) licenc za povezave VPN. To pomeni, da lahko eno povezavo VPN uporablja le toliko uporabnikov (oz. številk IP), kot smo plačali licenc. Kljub temu da govorimo o "cenejših" izdelkih, pa so te licence za veliko manjših podjetij še vedno drage. Realnost v manjših podjetjih je tako še vedno večinoma taka, da se VPN ali ne uporablja ali pa se uporablja "zastonjska" rešitev, ki jo v strežnikih Windows NT/2000 ponuja Microsoft. Povezovanje VPN prek protokola PPTP je enostavno, zastonj (strežnik in dostopne licence smo tako ali tako že morali kupiti), uporabniki pa za dostop potrebujejo le katerakoli Okna (za številne strojne usmerjevalnike potrebujemo posebne odjemalce). Težava je v varnosti. Resda lahko pri povezovanju PPTP vključimo šifriranje podatkov (128-bitno ali 40-bitno, če imamo NT Server s starejšim Service Packom), vendar gre pri tem za nestandardno in po splošnem mnenju veliko manj zanesljivo šifriranje, kot ga ponujajo strojne naprave VPN. Windows 2000 že podpirajo protokol IPSec in šifiranje DES/3DES, priklopnemu protokolu pa Microsoft pravi L2TP. V strežnik Windows 2000 se z Windows 2000 ali XP Professional tako lahko priklopimo tudi s protokoli, ki jih že dolgo podpirajo strojne naprave VPN. Vendar pa je tako povezovanje že precej bolj zapleteno od PPTP, za povrh pa šifriranje DES in predvsem 3DES zahteva precej procesorske moči v strežniku.

Za zahtevnejše je tu tudi nekaj kompleksnejših nastavitev

Poceni in strojno

Cenejše strojne naprave VPN je torej v osnovi preprosteje namestiti kakor sama Okna, poleg tega imajo poseben procesor, ki skrbi za šifriranje. Če nas skrbi prej omenjena cena licenc, pa lahko posežemo po izdelku, ki napoveduje, da bo kar precej pretresel trg cenejših strojnih naprav VPN - Linksysovemu usmerjevalniku ADSL BEFVP41 s podporo VPN. Linksys je predvsem v ZDA zelo priljubljen med usmerjevalniki ADSL, predvsem zaradi enostavne namestitve in upravljanja ter ugodnih cen.

Oboje velja tudi za VPNovski BEFVP41. V "usmerjalniškem" delu je enak modelu brez VPN, o katerem smo v naši reviji že pisali (oktober 2001). Ima štirikratno stikalo hitrosti 10/100 Mb/s, upravljanje pa je urejeno prek spletnega brskalnika. V nastavitvah ga lahko hitro pripravimo za priklop prek ADSL ali kabelskega modema, hkrati pa uredimo filtriranje dostopov navzven ali pa navznoter. Požarni zid je vrste "statefull inspection", kar pomeni, da je inteligenten - zunanja vrata so zaprta, razen če nanje pride kot odgovor promet, ki je bil sprožen iz krajevnega omrežja. Seveda lahko zunanja vrata preusmerimo na različne računalnike v krajevnem omrežju (recimo vrata 80 za spletni strežnik), en računalnik pa lahko internetu tudi popolnoma odpremo (t. i. računalnik DMZ). Nadzor je mogoč tudi iz interneta (zaščiten z geslom), iz brskalnika pa lahko usmerjevalnik tudi nadgradimo. Uporaben je poseben program, ki ga dobimo v Linksysovem spletu in od usmerjevalnika sprejema vse dogodke na vhodu in izhodu, ali t. i. "LOG" (na voljo so pa tudi nekateri drugi zastonjski pregledovalniki). Skratka, odličen ADSL ali kabelski usmerjevalnik za rabo doma in v malih podjetjih.

Tudi na področju VPN je Linksys dovolj močan, vendar ne popoln. Za začetek pogrešamo podporo protokolom PPTP in L2TP, kar pomeni, da se v oddaljeno pisarno, ki dostop VPN zagotavlja z Linksysom, ne bomo mogli povezati kar z običajnimi Okni in klicnim dostopom. In nasprotno, Linksys kot odjemalec ne bo znal vzpostaviti klicne povezave (na zahtevo) do nekega Microsoftovega strežnika RAS, ki ga imamo morda v podjetju.

Povezava je namreč mogoča le na ravni IPSec. To pomeni, da usmerjevalniku vpišemo, kateri notranji naslovi IP zaupajo katerim zunanjim naslovom IP, določimo vrata (gateway) ali številko IP usmerjevalnika, prek katerega gre povezava, izberemo vrsto predstavitve (MD5, SHA), šifriranja (DES, 3DES) in kliknemo Connect (oz. se povezava ob zahtevi po ciljni številki IP vzpostavi sama). Vse lepo in prav, če dve omrežji povezujemo z dvema Linksysoma. Do zadnje različice strojne programske opreme (firmware) je celo veljalo, da mora biti "gateway" obvezno številka IP in ne imena DNS (torej so dinamični naslovi ADSL odpadli). Če se povezujemo s strežnikom Windows 2000 Server (v osnovi in za začetek je lahko to tudi delovna postaja z Windows 2000 Professional ali XP Professional), je teže. Predvsem zato, ker mora imeti strežnik dve omrežni kartici, od katerih je ena odprta v internet. Na to kartico potem "obesimo" pravila IPSec (nastavljiva s programom secpol.msc), ki so združljiva z nastavitvami na Linksysu. Da bi Windows 2000 ali XP uporabili kot odjemalec za priklop VPN na Linksys, torej zelo verjetno odpade. Večinoma v računalniku pač nimamo dveh omrežnih kartic...

Kot rečeno, za šifrirano povezovanje več oddaljenih lokacij je Linksys BEFVP41 kakor nalašč. Predvsem zaradi ugodne cene in ker ne zahteva ločenega nakupa licenc VPN. Da bi ga uporabili za oddaljen dostop delavcev do podjetja, pa zaenkrat še ne bo šlo. Vsaj dokler ne bo na voljo podpore L2PT ali posebnega programskega odjemalca.

Linksys EtherFast Cable/DSL VPN Router (BEFVP41)

Kaj: Usmerjevalnik ADSL s podporo VPN.

Izdeluje: Linksys, www.linksys.com.

Prodaja: Lemasoft računalniki, www.lemasoft.com, (01) 512 93 30.

Cena: 87.360 tolarjev.

Za: Zelo enostavna namestitev in upravljanje, razmeroma močan požarni zid, poceni povezovanje VPN. Dobra diagnostika dogajanja.

Proti: Ni neposredne podpore Microsoftovima PPTP in L2TP. Povezovanje VPN s sistemi "ne Linksys" je težavno.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Monitor na Facebooku

Monitor TV na YouTube

ZxuW76B4wrU

  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji