VIRTUELNE PRIVATNE MREE

Prevod sa engleskog: dr Radomir Jankovi

Osnovne informacije o virtuelnim privatnim mreama (VPN) Primer kako razviti VPN server uz Web server i server za elektronsku potu na istom raunaru Primer kako daljinski pristupiti intranet informacijama preko virtuelne privatne mree Pitanja privatnosti u mobilnim komunikacijama podataka

Osnovne informacije o virtuelnim privatnim mreama (VPN)

Virtuelne privatne mree (Virtual Private Networks - VPN) nude sposobnost da se obavljaju privatne komunikacije preko javne mree kao to je Internet. Termin se odnosi na kombinaciju tehnologija i tehnika koje osiguravaju komunikacije izmeu dve krajnje take uspostavljanjem tunela neprobojnog za prislukivanje i ometanje.

Daljinski pristup upotrebom Internet veze koja ve postoji Dva tipa virtuelnih privatnih mrea Raspoloivost virtuelnih privatnih mrea* Pitanja privatnosti u mobilnim komunikacijama podataka
Sledee informacije imaju svrhu da budu referenca za proizvode i usluge koje se odnose na mobilno PC raunarstvo preko PCS mrea. Ni Intel ni Mobile Data Initiative ne garantuju za proizvode ili kompanije koje se spominju dalje u tekstu. Ove informacije pomenute kompanije dale su jedino u svrhu upoznavanja. Ne daje se nikakva garancija u pogledu njihove tanosti.

Daljinski pristup upotrebom Internet veze koja ve postoji

Kupovina i odravanje modema za podrku udaljenim zaposlenima postaje glavni troak preduzea. Pored toga, mnoge od tih veza su iz udaljenih zona. Kako su mnoga od tih istih preduzea ve povezana na Internet, deluje privlano omoguiti zaposlenima da preko Internet veza pristupaju resursima preduzea. Umesto da biraju telefonski broj preduzea, bolje je da zaposleni biraju broj svog lokalnog posrednika za Internet usluge i zatim preko Interneta stignu do mree preduzea. Kako mnogi vei posrednici za Internet usluge imaju prikljuni vor u velikom broju gradova, zaposleni samo treba da naprave lokalni poziv, gotovo odsvakle. Ovaj pristup moe da se primeni ak i kada su zaposleni na putu ili kada rade u inostranstvu. Za meunarodne pristupe, upotreba Interneta moe da obezbedi daleko pouzdanije veze od meunarodnih poziva preko modema. Upotreba Interneta za daljinski pristup eliminie kako trokove za odravanje modema, tako i trokove veza iz udaljenih zona. Ali, ona istie i pitanja bezbednosti i performansi. Pored toga, ona zahteva od preduzea dodatnu opremu i softver, a moda i vei propusni opseg ka Internetu. Sreom, ove opcije se veoma brzo razvijaju. Takoe, poinju da se stabilizuju standardi za pouzdan zajedniki rad proizvoda razliitih proizvoaa.

Dva tipa virtuelnih privatnih mrea

Kljuna tehnoloka oblast koja se odnosi na daljinski pristup preko Interneta zove se virtuelno privatno umreavanje (Virtual Private Networking -VPN). Virtuelne privatne mree se koriste na dva naina. U prvom sluaju, tunel kroz Internet je izmeu dve privatne mree, na primer uprava preduzea sa jedne strane i udaljena kancelarija sa druge. U tom sluaju, upravljanje tunelom na obe strane izvodi se pomou namenskog VPN servera ili pomou postojee Internet mrene barijere. U stvari, o funkcionalnosti VPN moe se misliti kao o poboljanoj funkciji mrene barijere. Ovaj tip virtuelne privatne mree zove se ekstranet. Drugi nain korienja virtuelnih privatnih mrea jeste povezivanje individualnog prenosnog raunara (radne stanice) preko Interneta na privatnu mreu. U ovom sluaju, funkcija VPN je implementirana kao softver unutar prenosnog raunara. Ovaj raunar moe da koristi lokalni poziv da pristupi Internetu i stigne do privatne mree. Na narednoj slici prikazana su dva

4 razliita tipa virtuelnih privatnih mrea. Postoji takoe i varijacija ovog poslednjeg pristupa, u kojoj individualna radna stanica formira vezu sa posrednikim sistemom, na primer sa dobavljaem usluga Interneta, koji onda upravlja stvaranjem tunela u korist radne stanice.

U VPN vezi, moe da se pojavi sledei niz dogaaja: 1. Dva krajnja korisnika najpre se meusobno autorizuju. 2. VPN server moe da odredi kojim uslugama radna stanica ima dozvolu da pristupi i moe u saglasnosti sa tim da upravlja saobraajem koji sledi. Ovaj korak se zove autorizacija. 3. Jednom kada je tunel stvoren, njegove krajnje take dodaju posebna zaglavlja paketima koji su adresirani za suprotnu stranu tunela, ifruju originalni paket i zaglavlje i enkapsuliraju sve te informacije u nove IP pakete. Interna zaglavlja obezbeuju informacije o autorizaciji na nivou paketa i obezbeuju da se otkrije svako falsifikovanje podataka.

Siguran tunel virtuelne privatne mree

Opcije veze
Kada se na put nosi prenosni raunar postoji nekoliko naina kako moete da iskoristite prednosti VPN tehnologije da bi ste ostvarili vezu sa svojom mreom kod kue:

Modemska veza sa lokalnim posrednikom Internet usluga. Moete da upotrebite svoju PC modemsku karticu da ostvarite veze tradicionalnim zemaljskim linijama do lokalnog posrednika za Internet usluge, uspostavite PPP sesiju i zatim nastavite sa uspostavljanjem VPN veze preko Interneta. Celularna komutirana veza sa lokalnim posrednikom Internet usluga. Ovaj pristup je gotovo isti kao kada se koristi veza preko zemaljskih linija, izuzev to je ostvarena preko analogne veze ili veze komutirane pomou kola. Celularna komutirana veza direktno na Internet. Povezujete se na Internet preko direktne digitalne veze, a ne preko modemskog pristupa. Ovakve usluge tek predstoje.

Raspoloivost virtuelnih privatnih mrea

VPN tehnologija je danas raspoloiva ne samo preko kompanija koje su specijalizovane za virtuelne privatne mree, nego i preko proizvoaa operativnih sistema (na primer, Microsoft), tradicionalnih prodavaca mrenih barijera, a u budunosti moda ak preko prodavaca usmerivaa. Danas postoji ograniena funkcionalna usklaenost izmeu proizvoda razliitih prodavaca, jer su standardi tek nedavno zaokrueni. Zato e vam najverovatnije biti potreban softver istog proizvoaa na obe strane vaih tunela. Glavni standardi na koje treba obratiti panju jesu Ipsec (bezbedni IP), SOCKS i Protokol za tunele 2. sloja (Layer 2 Tunneling Protocol - L2TP). L2TP je novi standard koji e kombinovati atribute Microsoftovog Protokola za tunele taka-na-taku (Point to Point Tunneling Protocol - PPTP) i Ciscovog usmeravanja 2. sloja (layer 2 forwarding - L2F). Oekuje se da e beini nosioci obezbediti vie opcija za povezivanje na Internet. Ove opcije radie ruku pod ruku sa VPN tehnologijama u cilju olakavanja daljinskog pristupa privatnim mreama gotovo svugde u svetu. Svako ko putuje nosei prenosni raunar i mobilni telefon, uvidee da je lake ako se ostane u vezi sa svojom organizacijom kod kue. Evo nekih kompanija koje nude VPN proizvode:

6 Altavista Tunnel TimeStep Aventail V-One

Primer kako se razvija VPN server uz Web server i server za elektronsku potu na istom raunaru
Napisao: Sultan Weatherspoon, Intel Corporation

Uvod Postavljanje virtuelne privatne mree Postavljanje Web servera Postavljanje Microsoftovog Exchange servera Uvod
Ovaj lanak predstavlja primer kako da se razvije server za virtuelno privatno umreavanje (VPN) zajedno sa web serverom i serverom elektronske pote na istoj maini, koristei postojeu infrastrukturu preduzea. Ovo e pomoi slubeniku da daljinski pristupa intranetu svog preduzea, uz zatitu od prislukivanja du celog puta. U ovom lanku se pretpostavlja da preduzee ima aktivnu vezu sa Internetom i da je njihov intranet povezan na Internet. Server koji je opisan nije proksi server. Ovaj server bie korien samo kao VPN server, Internet/intranet web server i server za elektronsku potu. Serveri za elektronsku potu i web ukljueni su da bi upotpunili sliku jednog "sve-u-jednom" servera koji se lako instalira. lanak je namenjen poslovnim ljudima koji ele da razviju reenje daljinskog pristupa preko virtuelnih privatnih mrea za svoje zaposlene. Glavni razlog zato bi preduzee elelo to da uradi jeste produktivnost, jer e zaposleni imati mogunost daljinskog pristupa resursima preduzea. Dodatni razlozi su smanjenje trokova administracije i trokova hardvera (eliminacijom modema i viestrukih biranja po linijama). Za dodatne informacije o prednostima VPN tehnologije, kao i o pitanjima bezbednosti, pogledajte http://www.posdata/virtual.htm. Za dodatne informacije o Microsoftu i protokolu PPTP pogledajte http://www.microsoft.com/communications/.

Postavljanje virtuelne privatne mree

Upotrebljeni softver Microsoft Windows NT server 4.0 (ukljuuje protokol PPTP i server daljinskog pristupa - (Remote Access Server - RAS)) Microsoft Exchange Server 5.5

Upotrebljeni hardver

Raunar koji ima mikroprocesor Intel Pentijum II 2 korisnika mrena adaptera Intel EtherExpress Pro10/100

Upotrebljena Internet veza

Postojea veza velike brzine za Internet sa minimalnim propusnim opsegom od 1

Mbajta u sekundi

Upotrebljena intranet veza

Normalna veza na lokalnu mreu raunara

Instalacija 1. 2. Instalirajte Microsoft Windows NT Server po intranet specifikacijama (domen, IP adresa ) Da bi instalirali PPTP protokol izaberite miem Start>Settings>Control Panel. Dva puta pritisnite miem na ikonu Network. Izaberite Protocols. Izaberite dugme Add. Postavite se na Point to Point Tunneling Protocol. Pritisnite OK.

3.

Odaberite stavku Point to Point Tunneling Protocol. Pritisnite dugme Properties. Postavite maksimalan broj korisnika koji e biti povezani kroz virtuelnu privatnu mreu. Primer koji sledi pokazuje 20. Pritisnite OK.

4.

Svaka od dve Intel EtherExpress Pro10/100 mrene kartice imae posebnu IP adresu. Jedna e biti povezana na intranet, sa svojom intranet adresom, a druga e biti povezana na Internet, sa svojom Internet IP adresom. Na kartici Protocols odaberite stavku TCP/IP Protocol. Pritisnite dugme Properties. Slika koja sledi je primer. Pritisnite OK.

10

5.

Da instalirate Remote Access Service (RAS) pritisnite jeziak Services. Pritisnite dugme Add. Pomerajte se do stavke Remote Access Service. Pritisnite OK.

6.

Da dodate RAS VPN ureaje, izaberite Remote Access Service. Pritisnite dugme Properties. Pritisnite dugme Add. Pritisnite OK da dodate VPN-1RASPPTM. Nastavite da ponavljate ovaj proces dok ne dodate sve VPN ureaje.

11

7.

Da biste konfigurisali RAS da koristi protokol TCP/IP pritisnite dugme Network. Potvrdite samo polje TCP/IP pod "Allow remote clients running:" (dozvoljava se rad udaljenim korisnicima). Pod "Encryption settings:" potvrdite "Require Microsoft encrypted authentification" (trai se autorizacija Microsoftovom ifrom). Pritisnite Configure.

8.

Izaberite opseg IP adresa rezervisan za korisnike tunela. Ovaj opseg adresa bie upotrebljen SAMO za zaposlene koji koriste virtuelnu privatnu mreu. Sledi primer intranet

12 IP adresa. Preporuujemo da se ne koristi DHCP (protokol za dinamiko konfigurisanje glavnog raunara). Pritisnite OK. Pritisnite OK. Pritisnite Continue.

9. 10.

Zavrili ste sa postavljanjem mree. Pritisnite OK. Raunar e traiti da ponovo pokrenete sistem. Pritisnite OK na taj zahtev. Da promenite prava korisnika koja mu dozvoljavaju da se umreava preko komutirane veze, izaberite miem Start>Programs>Administrative Tools (Common)->User Manager for Domains. Dva puta pritisnite na korisnika kome elite da odobrite mogunost biranja. Pritisnite dugme Dialin. Potvrdite "Grant dialin permission to user". Korisnik sada ima dozvolu da prolazi "tunelom" kroz ovaj VPN server.

13

Sada ste instalirali server virtuelne privatne mree i web server na ovoj maini, koristei svoju postojeu infrastrukturu. Svi zaposleni kojima je dodeljena privilegija daljinskog pristupa i koji imaju VPN klijent postavljen na svom sistemu mogu sada da pristupaju informacijama kao da sede za svojim radnim stolovima u kancelarijama.

Postavljanje Web servera

1. Web server je aplikacija koja se daleko najlake postavlja. Instalirajte Microsoft Internet Information Server (IIS). Kada se IIS instalira, on e traiti da se instalira web server. Odgovorite sa Yes na ovaj zahtev. IIS takoe instalira Active Service Pages (*.asp) koji, izmeu ostalog, dozvoljava korisniku da pregleda elektronsku potu preko weba (Internet Explorer).

Postavljanje Microsoftovog Exchange servera

1. Instalirajte Microsoft Exchande Server prema njegovim instrukcijama. Pristup Webu je opcija koja se automatski instalira ako ste prilikom instalacije IIS odabrali i Active Service Pages.

14 2. Da biste dodali Internet servis elektronske pote izaberite miem

Start>Programs>Microsoft Exchange Administrator. Izaberite File>New Other>Internet Mail Service. Pritisnite default za sve opcije.

3.

Svi protokoli potrebni za Internet elektronsku potu su ovim instalirani. Vai protokoli bi trebalo da izgledaju kao na primeru koji sledi.

4.

Traite od posrednika za Internet usluge da doda "Mail Exchange (MX) record" na sistem imena domena (DNS) ulaza ovog servera. To dozvoljava da se elektronska pota korektno usmeri kroz Internet na ovaj raunar.

15 5. Uniformni lokator resursa (URL) za pristup elektronskoj poti preko weba moe se promeniti u Internet Service Manageru: Start>Programs>Microsoft Internet Server>Internet Service Manager. Dva puta pritisnite miem na uslugu WWW. Pritisnite jeziak Directories. Va URL direktorijum bi trebalo da izgleda slino primeru koji sledi.

Sada ste instalirali VPN server, web server i server elektronske pote u cilju poveanja produktivnosti i efikasnosti zaposlenih koji rade daljinski. E S T I T A M O !!!

16

Postavljanje klijenta virtuelne privatne mree i primer kako daljinski pristupiti intranet informacijama
Uvod Ovaj lanak ima nameru da vas upozna sa konceptom virtuelnog privatnog umreavanja (VPN), pokazujui vam kako da postavite klijenta za korienje virtuelne privatne mree. Potreban softver i hardver Softver Hardver Prenosni (notebook) raunar sa mikroprocesorom Intel Pentijum ili Pnetijum II Ugraeni modem Microsoft Windows95 OSR2 sa MSDUN 1.2 Microsoft Point to point Tunneling Protocol (PPTP) Microsoft Dial up networking (DUN) Microsoft Internet Explorer Uvod Potreban softver i hardver Kako postaviti klijenta da koristi virtuelnu privatnu mreu

Kako postaviti klijenta da koristi virtuelnu privatnu mreu

Instalirajte PPTP protokol na WIN95 OSR2 raunaru klijentu: 1. 2. 3. 4. 5. Izaberite miem Start>Settings>Control Panel. Dva puta pritisnite dugme Add/Remove Programs. Pritisnite tab Windows Setup. Izaberite Communications. Pritisnite dugme Details. Potvrdite polje Virtual Private Networking.

17 6. 7. Pritisnite OK. Pritisnite OK. Raunar e zatraiti da ponovo pokrenete sistem. Pritisnite OK na ovaj zahtev. Ako nema VPN ikone, mora da se instalira MSDUN 1.2. Ova datoteka se nalazi na http://www.microsoft.com/Windows/images/getisdn/dload.htm

18

Pitanja privatnosti u mobilnim komunikacijama podataka

Napisao: David Barth, Intel Corporation Uvod Koliko "privatnosti" Vam treba? Uvod Pitanja privatnosti postala su, sa porastom popularnosti poslovnih komunikacija preko Interneta i beinih celularnih mrea, predmet sve veeg interesovanja meu menaderima informacionih tehnologija. Javna priroda takvih mrea znai da nedobronamerni uesnici mogu da presretnu komunikacione signale i, ako su ti signali bili poslati u vidu neifrovanog otvorenog teksta, proitaju svaku poverljivu informaciju. Kao odgovor na ovaj problem razvijene su i uspostavljene tehnike za ifrovanje podataka, koje omoguavaju korisnicima da ak i najpoverljivije podatke alju preko privatnih mrea. Upotreba ifrovanja podigla je nivo privatnosti beine komunikacije u odnosu na ine telefonske mree, ali u nekim sluajevima to ne moe ponuditi dovoljno bezbednosti. Radi vee privatnosti, ifrovanje se moe uspostaviti preko cele daljinske veze upotrebom Virtuelne privatne mree (Virtual Private Network - VPN), koja moe da obezbedi jedno reenje visoke bezbednosti za sve mobilne korisnike. Osnovni zahtev: digitalno beino ifrovanje Sledei korak: izgradnja potpuno mobilnog reenja sa bazom podataka Prednosti virtuelnih privatnih mrea (VPN) Izbor prave virtuelne privatne mree Uvod u VPN modele VPN reenja uspostavljena sopstvenim snagama VPN usluge posrednika za Internet Virtuelna privatna mrea za Vau organizaciju Upotreba ifrovanja za reenje pitanja privatnosti kod mobilne komunikacije

19 ifrovanje podataka je sada neophodan dodatak svakoj tehnologiji mobilnih komunikacija, ali raspoloiva reenja i izbori mogu da budu zbunjujui. Svrha ovog teksta je da objasni kako se ifrovanje uklapa u model mobilnih podataka i o emu bi trebalo voditi rauna prilikom izbora reenja ifrovanja za mobilne poslovne komunikacije. Koliko "privatnosti" Vam treba? Bezbednost komunikacija zasnovana je na pretpostavci da svaka poverljiva informacija ima pridruenu vrednost. Vrednost je ta koja navodi druge uesnike da pokuaju da ukradu informaciju. Cilj svakog bezbednosnog reenja je da zatiti tu vrednost, uinivi zlonamernim napadaima tekim itanje privatnih podataka. Dovoljan nivo bezbednosti je dostignut kada napor i trokovi napadaa da probiju privatnost nadmae vrednost poverljivih podataka. Recimo, veina ljudi mirno bi ostavila dva dolara na stolu u svojoj kui - jer taj iznos ne bi bio vredan napora ili rizika koje preduzima lopov da bi provalio u kuu i ukrao novac. Sa druge strane, ako bi se radilo o dve hiljade dolara, tada bi vlasnik morao dva puta da razmisli pre nego to ostavi novac na stolu - zahtevani nivo bezbednosti raste sa porastom vrednosti koja privlai lopova. Dakle, pre nego to izaberemo bezbednosno reenje, moramo prvo razmotriti vrednost informacije koja treba da se dri u privatnosti. To e obezbediti merenje performansi za minimalni nivo bezbednosti koji se trai. Osnovni zahtev: digitalno beino ifrovanje U svom ranom dobu beina celularna komunikacija je koristila neifrovane analogne signale. Kako su ti signali emitovani preko otvorenog vazdunog prostora, sve to je nekome ko bi eleo da provali u tuu privatnost bilo potrebno bio je prijemnik koji bi mogao da presretne odreene signale. Takvi sistemi obezbeivali su veoma malo sigurnosti i oigledno nisu bili pogodni za potrebe prenoenja poverljivih poslovnih informacija. Moderni digitalni beini sistemi konstruisani su imajui u vidu takve potrebe, pa su popravili slabosti ranijih sistema u pogledu bezbednosti. Danas, svi digitalni celularni sistemi obezbeuju ifrovanje kao deo svojih standardnih usluga. Pre nego to signal izae iz beinog predajnika, njime se matematiki manipulie ("ifruje se") da bi postao neitljiv za svakog drugog osim za onu osobu kojoj je namenjeno da primi signal. Kada je signal jednom ifrovan, vie nije vano da li je lopov presreo signal,

20 jer on ne moe da razume podatke. Lopov moe da upotrebi raunar i pokua da proita ifrovani signal, ali takav napor bi bio preskup i odneo bi previe vremena da bi bio vredan presretnutih informacija. Kada se uspostavi veza preko celularne mree, ta mrea jedino obezbeuje beini pristup javnoj komutiranoj telefonskoj mrei (Public Switched Telephone Network - PSTN) - obinom zemaljskom telefonskom sistemu. Sva digitalna beina reenja imaju za cilj da obezbede dovoljno ifrovanja da nivo privatnosti dostigne ili prevazie nivo privatnosti koji daje javna mrea. Sa pojavom modernih sistema za ifrovanje, beini link nije vie slaba taka u komunikacionom linku - jer je nivo privatnosti koji obezbeuje celularna komunikaciona sesija u najmanju ruku toliko visok kao onaj koju obezbeuju sesije zasnovane na javnoj komutiranoj telefonskoj mrei. Ova upotreba digitalnog beinog ifrovanja omoguava korisnicima da glatko prelaze izmeu mobilnih veza zasnovanih na javnim komutiranim telefonskim mreama koje koriste zemaljske ine linije i mobilnih beinih reenja koja su isto tako bezbedna. To je osnova upotrebu mobilnih beinih komunikacija - sve to preduzee moe bezbedno da poalje preko zemaljskih linija, moe da se poalje putem celularne veze bez ikakvih promena u odnosu na osnovnu beinu uslugu. Sledei korak: izgradnja potpuno mobilnog reenja sa bazom podataka Standardno ifrovanje preko beine veze moe da bude jo uvek nedovoljno za potpuno mobilno reenje. Najvei potencijalni problem kad je u pitanju poverenje u standardnu beinu sigurnost za sve potrebe mobilnih korisnika jeste injenica da je ifrovanje obezbeeno samo do javne komutirane telefonske mree. Dalje od te take korisnik nema nikakvu kontrolu nad sigurnosnom zatitom svoje komunikacije. Ovaj problem moe da ogranii tip informacije koju korisnik moe da poalje ili uzme - veliki broj menadera informacionih tehnologija bi bio zabrinut ako bi dozvolio svojim korisnicima da prenose vrlo poverljive informacije preko veze koja nudi bezbednost samo na nivou javne komutirane telefonske mree. Problem postaje jo urgentniji ako se uzme u obzir da korisnik moe poeleti da bira broj preko posrednika Internet usluga. U tom sluaju, neifrovani podaci bili bi poslati irom Interneta, koji gotovo da ne prua nikakvu zatitu privatnosti.

21 Treba zapamtiti da je lanac sigurnosti u sesiji mobilne komunikacije jak onoliko koliko je jaka njegova najslabija karika. Na primer, nije od velike pomoi ifrovanje beinih podataka, ako se ti podaci posle deifruju u okruenju nesigurnog Interneta. U prolosti, veina organizacija je reavala to pitanje implementiranjem razliitih bezbednosnih postupaka za razliite tipove veza, kao to su doputenje da poverljive informacije budu poslate telefonskim linijama, a da samo informacije koje nisu poverljive idu na Internet. Sa porastom broja raspoloivih opcija veza, zadatak implementacije i sprovoenja razliitih bezbednosnih postupaka postajao bi sloen za administratora i sve nepogodniji za korisnika. Da bi pojednostavile i razreile ovakve probleme mnoge organizacije biraju da proire upotrebu ifrovanja u svojim mobilnim komunikacijama, kao deo napora da se implementira jaka bezbednosna politika u celokupnoj njihovoj organizaciji. To je imalo za posledicu novu klasu proizvoda i usluga koja se zove Virtuelna privatna mrea (VPN). VPN omoguava organizaciji da alje poverljive podatke preko Interneta tako to ih prvo ifruje, kako bi postali neitljivi za razna njukala. Upotreba ifrovanja znai da bezbednost virtuelne privatne mree nije zavisna od tipova veza koje se koristi ili od posrednikih linkova, odnosno da se daje isti nivo bezbednosti svim korisnicima. To korisnicima daje slobodu da se prikljuuju na mreu na bilo koji nain, ne vodei rauna o tome kakvu vrstu informacija emituju. Rezultat je fleksibilno, sveobuhvatno reenje, pogodno za sve mobilne korisnike. Prednosti virtuelnih privatnih mrea (VPN) VPN proizvodi su predodreeni da postanu reenje daljinskog pristupa i za velika i za mala poslovna okruenja iz sledea tri glavna razloga: Oni su relativno jevtini u poreenju sa tradicionalnim uslugama putem biranja telefonskog broja. Oni mogu da ponude veliku koliinu kontrole bezbednosnih postupaka. Oni su vrlo fleksibilni, to je moda najvanije za mobilnog korisnika.

VPN reenja mogu da utede mnogo novca u odnosu na tradicionalne usluge putem biranja telefonskog broja. Kako virtuelne privatne mree mogu da alju sve svoje podatke putem Interneta, nema potrebe da se direktno bira broj u preduzeu. Umesto toga, korisnik samo treba da se povee na Internet, bez obzira gde se u svetu nalazi. U najveem broju sluajeva to e

22 znaiti povezivanje preko posrednika usluga za Internet. S obzirom na posrednike usluge za Internet koje su danas na raspolaganju, povezivanje na Internet na taj nain esto zahteva samo jedan lokalni poziv u bilo kom veem gradu na svetu. To se odraava kao direktna uteda u trokovima telefonskih rauna. Preduzeu je bolje da plaa malu mesenu nadoknadu posredniku Internet usluga i samo trokove lokalnih telefonskih poziva, nego skupe meugradske telefonske veze iz minuta u minut dokle god je udaljeni zaposleni korisnik povezan. Pored toga, s obzirom na to da virtuelna privatna mrea prenosi teret odgovornosti obezbeivanja pouzdane Internet veze po biranju broja na posrednika Internet usluga, vie novca se utedi kada preduzee ne treba vie da administrira i da odrava modeme udaljenih korisnika. Virtuelne privatne mree mogu se postaviti relativno jeftino. Usluge virtuelne privatne mree mogu da se postepeno poveavaju u preduzeu, a mogu i da koegzistiraju sa trenutno postojeim reenjima za mobilan pristup. Druga prednost virtuelnih privatnih mrea sastoji se u tome to one mogu da ponude vrlo visok stepen kontrole administratoru bezbednosti. Najvei broj VPN reenja daje administratoru neki stepen kontrole nad jainom ifrovanja koju koristi virtuelna privatna mrea, a neki proizvodi dozvoljavaju detaljnu kontrolu nad nizom bezbednosnih karakteristika, poevi od autorizacije zahteva za korisnika na prava za pristup, esto na bazi korisnik-prema-korisniku. U kombinaciji sa sloenim softverom za praenje korisnika ovi proizvodi dozvoljavaju da se lako obavi potpuno nadgledanje i sprovoenje postupaka za sve korisnike. Ako administrator zakljui da treba da se implementiraju razliiti postupci za razliite korisnike ili tipove informacija, ovakva centralizovana kontrola moe biti od velike koristi. Za mobilne korisnike najvea prednost virtuelnih privatnih mrea jeste njihova fleksibilnost. Kako na nivo ifrovanja koji obezbeuje VPN ne utie upotrebljena komunikaciona tehnologija, zaposleni pojedinac koji daljinski pristupa moe da koristi bilo koji tip veze. Dostignuti nivo privatnosti je postojan, bez obzira na to da li je prikljuen na Internet direktno, preko posrednika Internet usluga i zemaljske linije ili preko posrednika i beino. To daje slobodu da se koristi najpogodnija veza, bez brige u vezi sa razliitim bezbednosnim postupcima za svaki tip veze. S gledita administratora, postoji irok spektar raspoloivih VPN proizvoda i usluga, tako da on moe pronai reenje koje odgovara potrebama njihove organizacije za upravljanje postupcima, uspostavljanje i odravanje. Na prvi pogled, veliki broj razliitih reenja virtuelnih privatnih mrea moe da zbunjuje, ali ova razliitost osigurava da e

23 preduzee biti sposobno da pronae pravu kombinaciju karakteristika, prema svojim potrebama. Izbor prave virtuelne privatne mree Kada razmatramo mogua reenja virtuelne privatne mree za neku organizaciju, moramo odmeriti tri prethodno spomenuta glavna inioca: trokove, kontrolu postupaka bezbednosti i fleksibilnost. Trokovi razliitih reenja virtuelnih privatnih mrea mogu iroko da se menjaju. Mada e na dui rok veina virtuelnih privatnih mrea utedeti novac u odnosu na tradicionalna reenja daljinskog pristupa, trokovi uspostavljanja i odravanja mogu da zadaju brige. Kako im se dodaju nove osobine da bi se poveala bezbednost i kontrola nad postupcima, mnogi VPN proizvodi postaju sloeniji, to utie i na trokove uspostavljanja, a naroito odravanja virtuelnih privatnih mrea. Vano je da se razmotri tip informacija koje e korisnici eleti da alju preko virtuelne privatne mree, koji nivo kontrole treba da se obavlja nad sigurnosnim postupcima i koliko znanja postoji u organizaciji za odravanje VPN sistema. Ova razmatranja mogu da pomognu u suavanju izbora virtuelnih privatnih mrea koje odgovaraju zahtevima organizacije u pogledu trokova. Mnoga preduzea se odluuju da utede novac putem postepenog razvoja nove virtuelne privatne mree. Postojee reenje za daljinski pristup moe da se odrava ili sporo menja kako se nova virtuelna privatna mrea uspostavlja ili, u poetku, kupuje od posrednika za Internet usluge. Kontrola postupaka bezbednosti moe da ukljui sve od nivoa ifrovanja i izbora mehanizma autorizacije, preko nivoa granularnosti koji e biti primenjen za profile korisnika, pa sve do stepena nadgledanja i zapisivanja tokom korisnikih sesija. Vea kontrola postupaka bezbednosti esto e rezultovati fleksibilnijim reenjem, ali moe takoe dodati nove trokove zbog poveane sloenosti virtuelne privatne mree. Mnoge organizacije vie vole da imaju veu kontrolu nad svojim reenjem, bilo zato to nisu voljne da povere svoju bezbednost spoljanjem preduzeu (ako se virtuelna privatna mrea kupuje od, na primer, posrednika za Internet usluge) bilo zato to ele veu slobodu u razvoju sopstvenih postupaka u budunosti. Meutim, ova dodatna kontrola kota i ako osnovna virtuelna privatna mrea koja obezbeuje standardne usluge zadovoljava Vae potrebe, onda takvo reenje moete dobiti po relativno niskim cenama.

24

Fleksibilnost VPN reenja je posebna briga mobilnih korisnika koji ele da pristupaju mrei preduzea sa razliitih lokacija koristei razliite tehnologije veza. Jedna od najvanijih osobina virtuelnih privatnih mrea za mobilne korisnike jeste njihova upotrebljivost sa bilo koje lokacije (ili, u najmanju ruku, iz bilo kog veeg mesta) u svetu. Neki VPN proizvodi ovo ne obezbeuju - na primer, neke usluge mogu zahtevati da se korisnik direktno prikljui na odreeni server kako bi koristio virtuelnu privatnu mreu. Korisnici bi takoe trebalo da imaju opcije korienja razliitih tehnologija veza sa virtuelnom privatnom mreom. Na primer, ne bi trebalo da pravi nikakvu razliku ako korisnik eli da se povee preko direktne Internet veze, telefonskog poziva putem zemaljske linije ili upotrebom beine veze. Veina virtuelnih privatnih mrea ne pravi razliku izmeu tipova veza u tom smislu. Za administratora, fleksibilnost moe da znai da bi virtuelna privatna mrea trebalo da bude sposobna za evoluciju zajedno sa potrebama organizacije i sa promenama u tehnologijama Interneta i posrednika njegovih usluga. Na primer, administrator moe da poeli virtuelnu privatnu mreu promenljive veliine koja da prati rast preduzea ili vrlo modularno reenje koje moe da radi u kombinaciji sa razliitim uslugama posrednika za Internet. Uvod u VPN modele Trite virtuelnih privatnih mrea jo se razvija i prodavci nastavljaju da trae pravu kombinaciju osobina koja bi bila privlana za veliki broj organizacija. To moe da bude dobro za organizaciju koja eli da implementira novo VPN reenje, jer postoji mnogo mogunosti za izbor razliitih kombinacija osobina i raznih modela korienja. Sa druge strane, veliki broj opcija moe brzo da postane zbunjujui. Svako VPN reenje ima prednosti u pogledu trokova, kontrole postupaka i fleksibilnosti, pa esto treba praviti kompromis izmeu svih tih inilaca. Za mobilnog korisnika postoji itav spektar raspoloivih VPN reenja, koja obino predstavljaju neku od kombinacija dva jednostavna modela. Na jednom kraju spektra su VPN reenja koja su ispostavljena sopstvenim snagama i odravana iskljuivo od strane organizacije koja koristi virtuelnu privatnu mreu. U ovom modelu posrednik usluga za Internet se koristi samo za povezivanje na Internet. Ako organizacija nije spremna da iskljuivo ona upravlja svojom virtuelnom privatnom mreom, moe poeleti da kupi neku od VPN usluga od posrednika za Internet usluge. U ovom modelu, organizacija koja koristi virtuelnu privatnu mreu ima malu ili uopte nikakvu odgovornost za odravanje VPN.

25

VPN reenja uspostavljena sopstvenim snagama Uspostavljanje VPN reenja sopstvenim snagama trai da organizacija kupi, uspostavi i odrava svoju sopstvenu virtuelnu privatnu mreu. U ovom modelu VPN hardverski ili softverski proizvodi kupuju se i instaliraju u direkciji organizacije, kao i na svakom udaljenom korisnikom raunaru. Reenja razvijena sopstvenim snagama mogu da ponude sveobuhvatnu bezbednost koja je pod punom kontrolom preduzea. Najvea prednost virtuelne privatne mree razvijene sopstvenim snagama sastoji se u tome to je ona veoma fleksibilna. Kako je virtuelna privatna mrea instalirana samo na krajnjim takama daljinskog povezivanja, moe se upotrebiti svaki tip posrednike veze. Uopte nije vano da li je udaljeni korisnik povezan beino, putem Interneta, telefona ili neke druge tehnologije - VPN obezbeuje isti nivo privatnosti sa-kraja-na-kraj veze. Potpuna kontrola odravanja virtuelne privatne mree takoe ima oiglednih prednosti. Ova kontrola dozvoljava organizaciji da menja VPN po potrebi kako bi je podesila promenjenim zahtevima korisnika ili postupcima za bezbednost. Ona takoe daje slobodu organizaciji da kupi od nekoga spolja usluge odravanja za koje smatra da su joj odgovaraju, a da zadri kontrolu u svom okviru nad onim postupcima nad kojima to eli. Virtuelna privatna mrea razvijena sopstvenim snagama ima vrlo dobre osobine za kontrolu nad postupcima bezbednosti. Organizacija koja sama upravlja svojom virtuelnom privatnom mreom moe slobodno da izabere bilo koju strategiju bezbednosti za koju smatra da joj odgovara. To dozvoljava organizaciji da postupke bezbednosti uini jednostavnijim ili sloenijim po izboru, kao i da ih menja po potrebi. Ako se trai precizna kontrola postupaka ili zapisivanje za vreme sesije, postoji veliki broj proizvoda koji to omoguavaju. Nezgodna strana potpune odgovornosti za postupke u virtuelnom privatnoj mrei sastoji se u tome to ovo esto moe da postane jedan od najsloenijih aspekata odravanja mree. Kao reenje za taj problem mnogi VPN dobavljai nude dodatne alate za pomo u obavljanju kontrole postupaka. Trokovi su obino najvea briga pri implementiranju virtuelne privatne mree u sopstvenoj reiji. Veliko i sloeno VPN reenje moe da naraste, postane sasvim skupo i, u zavisnosti od

26 raspoloive ekspertize u organizaciji, mogu da se pojave dodatni poetni trokovi za obuku osoblja za uspostavljanje i odravanje VPN sistema. U vrlo malim organizacijama ovi trokovi mogu da uine neopravdanim uspostavljanje virtuelne privatne mree sopstvenim snagama. Ipak, veina preduzea e vremenom doi do toga da vredi imati fleksibilno bezbednosno reenje s-kraja-na-kraj veze i kontrolu nad njihovim vanim bezbednosnim aktivnostima, uz dodatne utede koje VPN nudi u odnosu na tradicionalne usluge po biranju telefonskog broja. VPN usluge posrednika za Internet Mnogi posrednici za Internet poinju da nude virtuelne privatne mree kao svoju glavnu uslugu. U ovom modelu, neki od tekih ili skupih aspekata virtuelne privatne mree kupuju se kod posrednika za Internet. Internet posrednici nude razliite nivoe VPN usluga - neke od njih rade veinu aspekata VPN odravanja, dok druge daju samo izvesne delove, ostavljajui ostale aspekte, na primer autorizaciju, u nadlenosti klijenta. Upotreba prave usluge koja odgovara potrebama organizacije moe da ima za posledicu jeftino reenje koje se lake implementira. Najvea prednost VPN usluga kod posrednika za Internet jesu utede u trokovima i jednostavnost. Kupovinom virtuelne privatne mree kod posrednika za Internet organizacija moe da izbegne obuku ili zapoljavanje osoblja za uspostavljanje i odravanje VPN sistema. Te utede u trokovima idu dodatno uz utede u meugradskim vezama i odravanje veza koje postoji u sopstvenim VPN reenjima. U zavisnosti od toga koliko je VPN usluga kupljeno van organizacije, uticaj posrednika za Internet moe da olaka uspostavljanje i odravanje virtuelne privatne mree. Mnoge usluge posrednika za Internet ne zahtevaju nikakav softver kod udaljenog klijenta i one esto mogu da opsluuju administrativne poslove kao to su kontrola postupaka bezbednosti. Ova dodatna jednostavnost moe da bude od velike koristi malim poslovnim organizacijama koje ne ele prevelike trokove niti tekoe da bi uspostavile virtuelnu privatnu mreu za mali broj svojih zaposlenih. Kupovina spoljnih usluga moe takoe da olaka nekoj organizaciji uspostavljanje svoje virtuelne privatne mree korak po korak. Na primer, ona moe da nastavi sa upotrebom svojih postojeih modema ili reenja mobilnog pristupa, dok postepeno prevodi zaposlene na VPN usluge posrednika za Internet, ili ak moe da koristi VPN posrednika za Internet dok u isto vreme uspostavlja VPN u sopstvenoj reiji.

27 Odravanje postupaka za bezbednost moe da bude lake kada se kupi od posrednika Internet usluga, ali taj nedostatak kontrole moe predstavljati i lou stranu ovog modela. Posrednik za Internet usluge moe nuditi premalo opcija za potrebe preduzea ili preduzee moe jednostavno da odlui da je bezbednost suvie vana kako bi bila poverena nekome spolja. Postoji i rizik kada se postupci ifrovanja kupe od nekoga van organizacije. To bi moglo da znai da, dok su podaci sigurno ifrovani od strane posrednika kada se alju preko Interneta, pre nego to stignu do njega, oni se alju kao otvoreni tekst. U veini sluajeva veza izmeu udaljenog korisnika i posrednika Internet usluga ostvaruje se putem zemaljskih linija ili beinih telefona. Te veze mogu onda da postanu slaba karika u lancu daljinske sesije. Ova situacija moe da bude neprihvatljiva za neke organizacije koje virtuelnu privatnu mreu koriste za prenos vrlo poverljivih podataka. Prepoznajui taj problem, mnogi posrednici za Internet usluge nude sposobnost proirenja ifrovanja na celom putu do klijenta. Ipak, ovo obino ukljuuje i odustajanje od nekih prednosti u jednostavnosti i lakoi uspostavljanja veza, koje ini privlanom kupovinu takvih usluga van sopstvene organizacije. Jedna od osobina koje nekim posrednicima za Internet usluge mogu da nedostaju jeste fleksibilnost. Ako su kritine VPN usluge poverene posredniku za Internet, onda je vano proveriti da li je potrebna direktna veza ka tom posredniku da bi se osigurala bezbednost. Ako "osnovni" posrednik za Internet usluge obezbeuje delove virtuelne privatne mree koji se ne mogu zameniti od strane drugih posrednika, tada mobilni korisnici ne mogu uvek da koriste mreu. Posrednici za Internet usluge pokuavaju da ree ovaj problem na razliite naine, od postavljanja dodatnog softvera kod udaljenih klijenata, do uspostavljanja partnerstva sa drugim posrednicima. U veini sluajeva, to e vratiti neke od VPN aktivnosti natrag u sopstvenu organizaciju. Virtuelna privatna mrea za Vau organizaciju Biranje najbolje virtuelne privatne mree za Vau organizaciju moe da bude zbunjujui proces, imajui u vidu veliku ponudu na tritu. Dva gore diskutovana modela mogu da se realizuju preko mnogo razliitih proizvoda. Ovi proizvodi mogu da se, funkcionalno i po karakteristikama, preklapaju u razliitoj meri. Najbolje reenje za organizaciju moe leati izmeu te dve krajnosti, kao kombinacija kupovine kod posrednika za Internet usluge i razvoja u sopstvenoj reiji. Virtuelna privatna mrea uspostavljena sopstvenim snagama moe da obezbedi maksimum fleksibilnosti i kontrole, ali i da ne bude vredna poetnih trokova i

28 sloenosti za male organizacije. Za vee organizacije, virtuelna privatna mrea zasnovana na posredniku Internet usluga moe da bude upotrebljena kao pilot-instalacija ili privremeno reenje, da bi se pomogla migracija ka sopstvenom sistemu. Sopstveno reenje e na dui rok utedeti vie novca i verovatno obezbediti veu fleksibilnost za pokrivanje svih potreba privatnosti u preduzeu. Jednom kada je doneta odluka o tome da virtuelna privatna mrea moe da ponudi privatnost i pogodnost Vaoj organizaciji u pogledu trokova u odnosu na tradicionalna uspostavljanja veza, preostaje samo da se odlui koji inioci najbolje odgovaraju Vaoj situaciji i potrebama Vaih mobilnih korisnika. Najverovatnije, VPN reenje koje e zadovoljiti Vae potrebe lei negde izmeu proizvoda razvijenog u potpunosti sopstvenim snagama i kupovine svih usluga van sopstvene organizacije. Upotreba ifrovanja za reenje pitanja Vae mobilne privatnosti

ifrovanje je dalo organizacijama mnogo novih opcija za zatitu poverljivih podataka. Upotreba ifrovanja u beinim komunikacijama uinila ih je isto toliko bezbednim kao i sesije po zemaljskim linijama javnih komutiranih telefonskih mrea. Organizacije koje ele dodatnu bezbednost, ili one koje nameravaju da slobodno alju poverljive podatke preko Interneta ili bilo kog drugog komunikacionog medijuma, mogu da implementiraju ifrovanje kroz sve komunikacione linkove uspostavljanjem virtuelne privatne mree. Virtuelna privatna mrea dozvoljava korisnicima da bezbedno alju podatke preko svih tipova veza, a moe u velikoj meri da pojednostavi kontrolu postupaka bezbednosti i tedi novac preduzea prilikom mobilnih pristupa. Ima mnogo VPN reenja izmeu potpuno samostalno uspostavljenih, sa jedne, i onih kupljenih kod posrednika, sa druge strane. Virtuelne privatne mree uspostavljene sopstvenim snagama nude visok nivo fleksibilnosti i kontrole, a mogu da tite sve poverljive podatke im ovi napuste internu mreu preduzea. Meutim, takva reenja mogu da budu preskupa za vrlo male organizacije. Virtuelne privatne mree kod posrednika Internet usluga dobre su kao male implementacije ili privremena reenja, ali treba posebno obratiti panju na pitanje da li zadovoljavaju potrebe mobilnih korisnika. Pravo reenje za Vae preduzee bie ono koje najbolje uspostavlja ravnoteu izmeu Vaih potreba u pogledu trokova, kontrole postupaka i fleksibilnosti virtuelne privatne mree.