Jak funguje VPN a který protokol si vybrat?
Zajistěte přístup k interním datům i zaměstnancům pracujícím vzdáleně a přitom si udržte vysokou úroveň bezpečnosti. Díky VPN ochráníte firemní data i identitu svých lidí. Podívejte se, jak virtuální privátní sítě fungují a jaké jsou rozdíly mezi VPN protokoly.
Popularita VPN a všeobecně zájem o co nejlepší zabezpečení vzdáleného přístupu vzrostly zejména v posledních měsících ve spojitosti s epidemiologickou situací. Požadavky firem na bezpečný vzdálený přístup k interním datům a softwarům se ale zvyšovaly už dříve. Souvisí to s potřebou některých, například obchodnických, pozic vykonávat práci v terénu. Tito zaměstnanci se pohybují mezi zákazníky, aby s nimi uzavřeli obchod nebo smlouvy, a proto je pro ně přístup k firemní síti nezbytný.
V posledních letech navíc firmy často nabízí zaměstnancům možnost využívat k práci jejich osobní zařízení. Trend, pro nějž se vžil výraz BYOD, tedy bring your own device, totiž pomáhá snižovat firemní náklady. Připojování takových zařízení mimo firemní síť k sítím nedůvěryhodným ale zvyšuje bezpečností rizika. Co tedy s tím?
Nejlepším řešením je používat VPN (virtual private network). Jde o geograficky rozsáhlou virtuální síť, která využívá již existující fyzickou infrastrukturu. Ve firemním prostředí to znamená, že své zařízení připojené k internetu můžete používat odkudkoli přesně tak, jako kdybyste zabezpečenou firemní síť nikdy neopustili.
Nechte si sestavit firemní VPN
Výběr vhodného typu VPN, jeho výstavbu i volbu koncových klientů nechte na nás. Postaráme se o provoz i monitoring firemní sítě, takže při prohlížení internetového obsahu budete vždy maskováni a v bezpečí.
Zatímco při běžném připojení posíláte své požadavky přímo cílovému serveru, při použití VPN tunelu putuje váš požadavek nejprve k VPN serveru. Tam se pomocí VPN protokolu šifruje ještě předtím, než vůbec dorazí k poskytovateli internetových služeb. Během prohlížení internetového obsahu maskuje VPN vaši identitu poskytováním nových IP adres. I proto je pro útočníky komplikované přečíst vaše data.
Při navazování spojení se totožnost obou stran ověřuje, což zajišťuje důvěryhodnost propojení. Ve variantě Point-to-Point ji využívají obchodníci v terénu nebo zaměstnanci na home office. VPN typu Site-to-Site (také Router-to-Router) propojuje například jednotlivé pobočky VPN tunelem.
Slovníček pojmů k VPN
VPN tunel – jedná se o šifrované soukromé propojení dvou zařízení v privátní síti, přes něž teče veškerá komunikace.
VPN brána – je VPN server, k němuž se klienti připojují. Jde o aktivní zařízení (síťový uzel), které propojuje dvě sítě pracující s odlišnými komunikačními protokoly.V soukromé síti tvoří funkci routeru (směrovače).
VPN koncentrátor – je na VPN serveru. Vytváří několik VPN tunelů a současně poskytuje bezpečné a šifrované spojení.
Port – aby komunikace mohla probíhat, musí být směřována na nějaký port. Ten je označen číslem, které obě zařízení, jež spolu v síti komunikují, znají. Výchozí číslo pro port VPN je 1194.
Point-to-Point – přímé spojení mezi dvěma síťovými uzly (třeba připojení z osobního zařízení do firemní sítě).
Site-to-Site/Router-to-Router – jde o propojení dvou virtuálních sítí přes VPN tunel (např. propojení sítí dvou poboček).
Při autentizaci klienta, připojujícího se k firemní síti, putuje požadavek nejprve k firewallu, který ve většině případů síť chrání a umožňuje přístup pouze určitým VPN branám. Firewall posílá požadavek VPN koncentrátoru. Ten ověří jeho důvěryhodnost a odešle firewallu žádost o povolení komunikace. Nakonec je klient vpuštěn do cílové firemní sítě.
VPN protokoly a jejich srovnání
Protokoly jsou základem VPN. Skládají se z přenosových protokolů a šifrovaných standardů, které poskytují rychlý a bezpečný přístup k serverům VPN a zpět.
Míra chráněného provozu závisí na typu VPN protokolu, který používáte. Existuje jich několik, a protože jedinou možností, jak si z nich vybrat, je vzájemné srovnání jejich funkcí, udělali jsme to za vás. Vybrali jsme tři protokoly, které sami používáme a které patří mezi ty nejznámější – IPSec IKEv2, OpenVPN a WireGuard.
IPSec IKEv2
IKEv2 je součástí sady protokolů IPSec, které se staly standardními protokoly pro bezpečnou internetovou komunikaci. IKEv2 implementuje hned několik kryptografických algoritmů.
Z hlediska bezpečnosti se u něj doposud neprokázaly žádné zásadní chyby a zranitelnosti. Nicméně Národní bezpečností agentura Spojených států upozornila na to, že by výměna klíčů v rámci IKEv2 mohla být nějakým neznámým způsobem zneužita k dešifrování provozu v IPSec.
V mnoha případech je IPSec IKEv2 rychlejší než níže zmíněné OpenVPN, a to díky šifrování v uživatelském režimu. S jistotou se to však tvrdit nedá, jelikož záleží na mnoha faktorech, které jsou pro připojení specifické.
IKEv2 je závislý na pevných protokolech a firewall portech. Defaultní nastavení portů je snazší zjistit a tedy i blokovat. Obecně se doporučuje tyto porty přenastavit, což u IKEv2 není možné.
IPSec je složitější než OpenVPN a může vyžadovat dodatečnou konfiguraci zařízení nacházejících se za NAT (překlad síťového provozu procházejícího přes router). Pokud server i klient podporují procházení NAT, pak by se neměly objevit žádné problémy.
IKEv2 nevyžaduje instalaci dalšího software, je rychlý, bezpečný a spolehlivý. Vyhoví i těm, kdo čelí sofistikovanějším útokům.
VPN jako služba
Jistě se vám už někdy stalo, že jste si chtěli přehrát video, které nebylo zpřístupněno pro vaši oblast. Taková situace se dá obejít využitím služby VPN. Po připojení k jednomu ze serverů poskytovatele VPN služby získáte při prohlížení internetového obsahu anonymitu a tím i přístup k blokovaným serverům a obsahu (geoblokace, lokální cenzura). Firem, které poskytují VPN služby, existuje několik, jednou z nejznámějších je NordVPN.
OpenVPN
Velmi populární open-source protokol, který však nebyl vyvinut na základě norem (jedná se o sérii doporučení, tzv. RFC). Používá vlastní bezpečnostní protokol a kryptografické protokoly SSL/TLC pro výměnu klíčů. K zajištění šifrování používá OpenSSL knihovnu, která implementuje několik kryptografických algoritmů.
V bezpečnosti nebyly odhaleny žádné nedostatky. Navíc jej lze nakonfigurovat tak, aby běžel na libovolném portu protokolů UDP nebo TCP. Tyto protokoly jsou součástí síťové transportní vrstvy a zaopatřují přenos datových paketů mezi jednotlivými uzly. Zabezpečují, aby se případné výkyvy v síti negativně neodrazily na připojení. Díky režimu TCP je OpenVPN vhodná i pro vysoce nespolehlivá připojení. TCP se může projevit určitým poklesem výkonu, jinak se ale jedná o stabilní a rychlý protokol i pro bezdrátové a mobilní sítě, který je rovněž odolný vůči přetížení.
OpenVPN ale není nativně zastoupena v žádném operačním systému a vyžaduje instalaci software. Ta zabere jen pár minut.
Tabulka srovnání protokolů
IPSec IKEv2 | OpenVPN | WireGuard | |
Algortimy a šifrování | 3DES, AES, Blowfish | 3DES, AES, RC5, Blowfish | ChaCha20, Curve25519, BLAKE2s, SpiHash24, HKDF |
Setup | Nativně ve Windows 7+, macOS 10.11+ a ve většině mobilních OS | Nutnost instalovat software | Nativně v Linux Kernel 5.6 a novějším, jinak instalace SW |
Podporované platformy | Windows, macOS, Linux, Apple iOS, Android | Windows, macOS, Linux, Apple iOS, Android, DD-WRT | Windows, macOS, Linux, Apple iOS, Android |
Firewall porty | Defaultní | Konfigurovatelné | Konfigurovatelné |
WireGuard
Extrémně rychlý VPN protokol s velmi moderním způsobem šifrování. Nabízí jednodušší, bezpečnější a efektivnější cestu použití VPN než ostatní technologie.
Používá nejmodernější šifrovací algoritmy. K autentizaci dochází pomocí UDP, což využívá tzv. dopředné bezpečnosti (forward secrecy). Pokud se útočníkovi v budoucnu podaří získat klíč, nebude ani tak schopen dešifrovat starší komunikaci, k jejímuž šifrování byl klíč použit. UDP protokol lze navíc konfigurovat na jakýkoli port
Kód WireGuardu byl napsán tak, aby v něm nebyly použity vlastnosti, které by mohly vést k potenciální zranitelnosti. Doposud se u něj tedy neprokázaly žádné bezpečnostní mezery. V porovnání s OpenVPN nebo IKEv2 je však poměrně nový.
Díky zabudovanému roamingu je stabilnější napříč sítěmi než OpenVPN. Nativně je součástí Linuxu s jádrem 5.6 a novějšího. V ostatních operačních systémech je potřeba instalovat klienta WireGuard. Instalace je stejně rychlá jako u OpenVPN.
Ať už se rozhodnete pro kterýkoli z výše uvedených protokolů, nešlápnete vedle. Jejich vlastnosti se odlišují spíše mírně a žádná z nich nevykazuje výrazné bezpečností mezery. S výběrem vhodného typu VPN, propojením poboček šifrovaným tunelem, sestavením LAN sítě a VPN pro vzdálený přístup vám můžeme pomoct. Ve finále ale musíte hlavně dbát na to, aby vaši zaměstnanci VPN připojení opravdu používali, pokud už jste ho zřídili. V opačném případě totiž jejich online aktivita nebude nijak chráněna.