Távol, s mégis közel - VPN I.
2005/03/31 21:42
871 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Régi adósságunkat törlesztjük egy olyan technológia bemutatásával, amely segítségével akár otthonról is rákapcsolódhatunk intézményünk rendszerébe.

Az intézményi informatikai szolgáltatások fejlődésével párhuzamosan egyre több felhasználóban (és rendszergazdában) merül fel az igény a munkahelyi hálózat erőforrásainak, szolgáltatásainak távoli elérésére. A rendszeradminisztrátorok távoli karbantartást, hibaelhárítást végezhetnek, a felhasználók elérhetik a céges hálózaton tárolt anyagaikat, esetleg intranetes tartalmakat, vagy egyéb olyan szolgáltatásokat, amelyeket kizárólag az intézmény jogosult tagjai számára nyújtunk. A távoli hozzáférés engedélyezésekor azonban fell kell készülnünk az illetéktelen hozzáférések megakadályozására, a hozzáférés időbeni és térbeni korlátozására és számos olyan akadály gördülhet elénk, amelyekkel első nekifutásra nem is számolnánk. A Unix/Linux rendszerek egyik első, igen kellemes szolgáltatása volt a telnet, amely segítségével a hálózaton keresztül kapcsolatot létesíthettünk a kiszolgálóval, arra belépve alkalmazásokat indíthattunk, dolgozhattunk.

A telnet legrosszabb tulajdonsága a kapcsolat titkosítatlan volta, amely a kezdeti időkben nem okozott problémát, az Internet elterjedésével azonban egyre-másra bukkantak fel olyan rosszakarók, akik a hálózat forgalmának lehallgatásával megszerezték a felhasználó accountjának adatait, és visszaéltek azzal. A telnet felváltására született meg a mai napig széles körben elterjedt SSH, amely nagyságrendekkel magasabb biztonságot nyújt számunkra. Meg kell vallanunk azonban, hogy az SSH szolgáltatásai meglehetősen korlátozottak (annak ellenére, hogy X-felületet, illetve tunnelezéssel szinte bármilyen kapcsolatot átvihetünk vele), használata az egyszerű felhasználók számára igen nehézkes, így nyugodt szívvel nem ajánlhatjuk intézményünk dolgozóinak. Node kell legyen valamilyen megoldás arra az esetre, ha az Igazgató Úr otthon szeretné feldolgozni fáradságos munkával összeszedett adatait és azonnal elhelyezni az iskolai közös mappában. Többek között ilyenkor vethetjük be "csúcsfegyverünket", amely a VPN névre hallgat.

A VPN a Virtual Private Network kifejezés rövidítése, és mint nevéből is kitűnik, virtuális magánhálózat létrehozására szolgál. Szerencsére - vagy szerencsétlenségünkre? - a VPN-nek számos fajtája létezik, ezek némelyike inkompatibilis egymással vagy nehezen telepíthető. Sorozatunkban igyekszünk bemutatni mindegyik implementációt, és kiemeljük előnyeiket, hátrányaikat.A VPN kifejezésben található Virtual szó azt jelenti, hogy a szerver és a kliens közötti kapcsolat nyilvános hálózaton keresztül, abba belebújtatva jön létre. A Private utal arra, hogy a kiszolgáló és a távoli kliens közötti kapcsolat az intézményben található hálózathoz hasonlít: az ügyfél privát IP-cím tartományba fog tartozni, munkája során teljesen úgy fog viselkedni, mintha a céges hálózat tagja lenne. A VPN létrehozásakor alapvetően kétféle megoldás közül választhatunk. Elsőként a viszonylag könnyen telepíthető és konfigurálható PPTP-t (Point-to-Point-Protocol) vesszük szemügyre.

A PPTP a PPP protokoll Microsoft által készített továbbfejlesztése. Előnye a könnyű kliens-oldali telepíthetőség, rugalmasság, valamint a kapcsolat NAT-olhatósága, vagyis egy címfordítást végző tűzfalon is átvihető a tunnel. Hátrányai között szokták említeni az összeköttetés biztonságának alacsony szintjét - meg kell azonban jegyeznünk, hogy a PPTP akár 128 bites titkosítást is képes kezelni -, valamint a fejlesztő cég vélt vagy valós hiányosságait. E sorok írója régóta használja a PPTP-t minden probléma nélkül, és nyugodt szívvel ajánlja mindenkinek. A PPTP kapcsolat egyszerű TCP csatornán keresztül közlekedik, GRE (Generic Routing Encapsulation) protokollon keresztül. Sajnos a standard Linux-kernelben nem található meg a kapcsolathoz szükséges MPPE-kiegészítés, ezért azt patch-ként le kell töltenünk és elhelyeznünk: Az MPPE patch a http://www.poptop.org címről tölthető le (ezt jegyezzük meg, innen később ugyanis másra is szükségünk lesz). Egyes disztribúciók (pl. SuSE) használata esetén erre nincs szükség, a kernel itt már tartalmazza a szükséges kiegészítést.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek